Sterk autentisering

Ansatte i grunnskole og høyere utdanning har tilgang til en rekke digitale løsninger, som skoleadministrative system, læringsplattformer og et bredt spekter av tjenester. De har dermed også tilgang til personopplysninger om svært mange elever, studenter og ansatte.

Uten sterk autentisering vil uvedkommende kunne logge seg på disse systemene med bare brukernavn og passord. Det er derfor viktig å sikre innloggingen til disse systemene på en god måte. Sterk autentisering gir flere måter for ansatte å bevise sin identitet på i innloggingsprosessen.

Hva er sterk autentisering?

Sterk autentisering kombinerer minst to ulike autentiseringsfaktorer. Dette gjøres for å styrke sikkerheten rundt identitetsbekreftelsen. Ved å innføre to autentiseringsfaktorer i stedet for én, får du et mer avansert nivå som gjør det vanskeligere for uvedkommende å logge inn.

Metoder for sterk autentisering kan være:

  • Passord: Eksempel på noe du VET
  • Bankkort: Eksempel på noe du HAR
  • Fingeravtrykk: Eksempel på noe du ER

Et eksempel på sterk autentisering er tofaktorautentisering hvor man bruker noe man har (bankkort) og noe man vet (pinkode).

Et annet eksempel er BankID. Ved bruk av BankID logger man seg inn på en tjeneste ved hjelp av brukernavn og passord (noe du vet), samt en kode fra BankID (noe du har).

Løsninger og metoder for sterk autentisering kommer i forskjellige varianter.

Feide tilbyr ulike løsninger for sterk autentisering. Bestill sterk autentisering i Feides kundeportal

Hvorfor sterk autentisering?

Et komplekst passord er ofte ikke sikkerhet nok for tjenester som behandler personopplysninger. Det holder ikke nødvendigvis med krav om minimumslengde, bruk av tall, store og små bokstaver og spesialtegn. Det er vanskeligere å gjette et komplekst passord, men svært mange bruker samme passord flere steder. Ofte går samme mønster igjen, med eksempler som Vinter2019.

Et passord kan komme på avveie ved en lekkasje fra et sted hvor ditt passord ligger, skadevare på pc-en til en bruker som plukker opp brukernavn og passord, "Mannen i midten"-angrep eller phishing-angrep.

Med kun ett passord ligger alt til rette for at fremmede personer kan få tilgang til personopplysninger og dokumenter som skal beskyttes. Uvedkommende kan gjøre endringer i ditt navn og kommunisere på vegne av deg. Hvis brukernes passord kommer på avveie kan det resultere i stor skade, ikke bare for brukeren selv, men også for organisasjonen vedkommende er knyttet til.

Vi oppfordrer derfor alle vertsorganisasjoner til å bruke sterk autentisering, og vi har lagt til rette for en tofaktorautentisering (også kalt totrinnsverifisering) i Feide som er enkel å ta i bruk. Ved bruk av tofaktorautentisering er konsekvensene langt mindre alvorlig dersom brukernavn og passord kommer på avveie.

Hva er konsekvensen ved å ikke innføre sterk autentisering?

Uten sterk autentisering vil uvedkommende kunne logge seg på tjenester med bare brukernavn og passord.

Datatilsynet stiller krav til at det skal være sterk autentisering på løsninger der man har tilgang til sensitive personopplysninger og/eller personopplysninger om mange. Dersom sterk autentisering ikke er innført gir de bøter.

Barn under 13 år er en ekstra sårbar gruppe, så tilgang til deres opplysninger blir sett på som svært alvorlig av Datatilsynet.

Hvordan fungerer sterk autentisering?

Slik er innloggingen med sterk autentisering gjennom Feide:

  1. Du logger først på med ditt vanlige Feide-brukernavn og passord. Hvis du allerede har logget inn med Feide gjennom ID-porten slipper du å autentisere deg på nytt med en sterk autentiseringsmetode.
  2. Om du har registrert mer enn en autentiseringsmetode, f.eks. to mobiltelefonnummer, både mobiltelefonnummer og Godkjenner-klient, blir du sendt til en side der du kan velge mellom hvilke metoder du ønsker å bruke. Du velger så én av metodene.
  3. Deretter må du velge mellom enten å få tilsendt engangskode fra en Godkjenner-klient, engangskode via SMS eller logge deg på ved hjelp av ID-porten. De neste trinnene vil se litt forskjellig ut avhengig av hvilken løsning du velger.
  4. Brukeren logges inn med sterk autentisering, og du blir sendt videre til tjenesten.
Hva koster sterk autentisering?

Bruk av godkjenner-applikasjon medfører ingen ekstra kostnader.

Ved bruk av engangspassord på SMS betaler organisasjonen stykkvederlag til Sikt for hver sendte SMS. Pris pr. SMS er kr. 0,48 inkl. mva.

Ved bruk av ID-porten vil Sikt viderefakturere for innlogginger som gjøres via ID-porten, til samme pris som vi blir fakturert for. Prisen for bruk av ID-porten fastsettes av Digitaliseringsdirektoratet for forrige periodes bruk i oktober/november hvert år. Pris for autentiseringer vil derfor ikke bli klar før oktober/november hvert år. Historisk har prisen ligget rundt 35 øre inkludert mva. per autentisering.

Ellers vil det ikke komme ekstrakostnader ut over normal Feide-avgift.

Metoder for sterk autentisering

Feide tilbyr følgende metoder for sterk autentisering:

  • Engangspassord på SMS
  • Kode via godkjenner-applikasjon
  • ID-porten
  • Microsofts arbeids- eller skolekonto med flerfaktor-autentisering (Entra ID)

Vertsorganisasjonen kan selv avgjøre hvilke av disse den skal tilby sine brukere, eventuelt om begge skal tilbys.

Engangspassord på SMS

Sluttbruker må benytte mobiltelefon til å motta engangspassord ved innlogging. Vertsorganisasjonen belastes de løpende kostnadene Feide har ved å sende ut SMS til brukere ved vertsorganisasjonen. Rutine for registrering må verifisere at oppgitt mobilnummer tilhører sluttbruker.

Dette skal registreres i feltet norEduPersonAuthnMethod:

norEduPersonAuthnMethod: urn:mace:feide.no:auth:method:sms +4712345678 label=<valgfri tekst>
Kode via godkjenner-applikasjon

Sluttbruker må benytte en klient som støtter en bestemt implementasjon av tidsbaserte engangspassord.

Noen klienter som vi vet fungerer er

  • 1Password – One-Time Password
  • Duo Mobile
  • Google Authenticator
  • Microsoft  Authenticator
  • Yubico Authenticator med YubiKey

Det er ingen løpende kostnader knyttet til bruken av denne metoden. Rutine for registrering må sørge for at hemmelig nøkkel blir lagt inn på sluttbrukerens klient.

Kryptert versjon av hemmelig nøkkel skal legges inn i feltet norEduPersonAuthnMethod:

norEduPersonAuthnMethod: urn:mace:feide.no:auth:method:ga <kryptert hemmelig nøkkel> label=<valgfri tekst>
ID-porten

Sluttbruker må benytte innlogging med ID-porten for å motta engangspassord ved innlogging.

  • MinID med engangskode fra SMS eller PIN-kodebrev
  • BankID med engangskode fra kodebrikke, app, skrapekort eller SMS-tjeneste fra bank
  • BankID på mobil med engangskode fra app
  • BuyPass ID med Mobil med engangskode fra passord/SMS eller mobilapp

Vertsorganisasjonen belastes de løpende kostnadene for innlogginger ved vertsorganisasjonen som gjøres via ID-porten.

Microsoft arbeids- eller skolekonto med flerfaktor-autentisering

Sluttbruker må benytte innlogging med Microsoft arbeids- eller skolekonto med flerfaktor-autentisering (MFA).

Rutine for registrering må verifisere at innloggingsfaktorene er utlevert til riktig person. Det er ingen løpende kostnader knyttet til bruken av denne metoden.

Dette skal registreres i feltet norEduPersonAuthnMethod:

norEduPersonAuthnMethod: urn:mace:feide.no:auth:method:azuread -

Hvordan aktivere sterk autentisering?

Sterk autentisering bestilles i Feides kundeportal (kunde.feide.no). Les mer om hvordan du aktiverer sterk autentisering

Hvilke tjenester skal ha sterk autentisering?

Det er opp til hver enkelt vertsorganisasjon å avgjøre hvilke tjenester som krever sterk autentisering. Dette valget bør være basert på en risikovurdering som vertsorganisasjonen har foretatt, og det er naturlig at personvernombudet er involvert her.

Sterk autentisering kan kreves for enkeltpersoner, alle ansatte eller alle brukere ved organisasjonen, for de tjenester vertsorganisasjonen har behov for.

Hvem i organisasjonen kan bruke sterk autentisering?

Sterk autentisering kan kreves for enkeltpersoner, alle ansatte eller alle brukere ved organisasjonen, for de tjenester vertsorganisasjonen har behov for.