Flerfaktorsautentisering

Flerfaktorsautentisering (MFA), även kallad tvåfaktorsautentisering (2FA), är en metod som avsevärt förbättrar säkerheten för ditt Hanken-konto. I praktiken betyder det att du bekräftar inloggningar med telefonen, vilket betyder att någon som stulit ditt lösenord inte kan logga in.

Instruktioner

  1. Om du har en smart telefon (Android eller iPhone) kan du använda en app för autentisering. Om du inte redan har den installerad kan du börja med att ladda ner Microsoft Authenticator från Google Play eller Apple App Store. 
  2. Öppna länken https://aka.ms/MFASetup Opens in new window i webbläsaren. (Om du tänker använda appen är det enklare om man öppnar den här webb-sidan på datorn.) 
  3. Logga in med ditt Hanken-konto och lösenord, om du inte redan är inloggad.
  4. Följ instruktionerna och du hamnar på en sida som ser ut ungefär så här.
     
    Ange telefonnummer för flerfaktorsautentisering
  5. Välj Authentication phone, Finland och fyll i numret till din Hanken-telefon. Det här är en pålitlig tjänst där du lugnt kan lagra numret utan rädsla för missbruk. Klicka Next. (Om du inte har en Hanken-telefon, eller primärt använder en privat telefon, kan du använda dens nummer istället.)
  6. Systemet kommer att skicka en kod som SMS till din telefon. Mata in koden och klicka Verify.
     
    Verifiering av MFA-telefonnummer
  7. Systemet föreslår att du tar ibruk alternativa sätt att identifiera dig. Välj Alternative authentication phone om du har ett andra telefonnummer. (Det här rekommenderas om du har två nummer för då finns det ett alternativ om det primära numret inte fungerar.)
     
    Alternativa identifieringsmetoder för MFA

     
  8. Om du har en smart-telefon (Android eller iPhone) rekommenderas en app som du kan identifiera dig med. (Om du inte vill eller kan använda den kan du klicka Save och skippa det här steget, eller avbryta med Cancel om du inte har gjort några förändringar)
    1. Välj Authenticator app or token och klicka på Set up authenticator app.
    2. Öppna Authenticator appen på telefonen, välj Add account och Work or school account. Scanna QR-koden som visas på datorns skärm.
    3. Systemet vill verifiera att appen funkar genom att be dig att antingen mata in en kod som visas i appen, eller kvittera ett meddelande från appen.
    4. När du är tillbaka på skärmen som visas ovan kan du ännu välja Notify me through the app (kvittera ett meddelande från appen) eller Use verification code from app (mata in en kod från appen) som den metod systemet använder i första hand.
    5. Klicka Save.  
  9. Om du inte redan använder Outlook-appen för att läsa e-posten på din smarta telefon så rekommenderar vi att du börjar använda den. Den är att rekommendera i största allmänhet av säkerhetsskäl, och fungerar dessutom bra ihop med flerfaktorsautenticering. 
  10. Några tips för hur du kan minimera situationerna där bekräftelse krävs med telefonen. 
    • När du loggar in kan du få frågan om du vill förbli inloggad på apparaten eller webb-sidan, eller om du vill skippa flerfaktorsautentiseringen på den här webb-sidan/apparaten i 60 dagar. Välj det här alternativet om du jobbar på din egen dator eller mobila enhet. Om du jobbar på någon annan apparat ska du INTE välja dem. 
    • Håll datorns VPN-kontakt aktiverad. Då ser systemet att du jobbar via Hanken och litar på din inloggning utan extra verifiering. 
  11. Klart. Vid behov kan du senare återvända till https://aka.ms/MFASetup Opens in new window  för att ändra dina inställningar.

Observera

Om du använder appen för inloggning så kan du göra det på två olika sätt.

Use verification code from app
I det här fallet öppnar man appen vilken visar en kod. Sen skriver man koden på den apparat eller webbsida där man loggar in. Det här är den säkrare metoden.

Notify me through the app
Den här metoden fungerar så att appen på din mobil visar ett meddelande som du kan kvittera med antingen Deny eller Approve. Den här metoden upplevs vanligen som behändigare, men den möjliggör att användaren godgänner en inloggning som en hacker gör någon annanstans. Därför är det viktigt att inte bekräfta oväntade inloggningar. Man kan vänta sig en förfrågan om inloggningsbekräftelse när man själv loggar in eller direkt after att man startat om en apparat (när program återställer kontakten till kontot). Avvisa (Deny) alla andra förfrågningar.

 

 

Ett konto som skyddas med endast lösenord är sårbart mot många typer av attack, bland annat lösenordsfiske som är vanligt förekommande. En stor del av dessa hotbilder kan elimineras genom att bekräfta inloggningar med mobiltelefonen. Telefonen är i regel i den legitima användarens besittning fast kontos lösenord läckt ut. Systemet för flerfaktorsautentisering kräver bekräftelse via mobilen när kontot loggar in för första gången från en ny apparat eller app, men anser i regel upprepade inloggningar som säkra. Det här utgör ett effektivt sätt att stoppa illegala inloggningar. 
Bekräftelsen görs genom att sända en kod till mobilen som textmeddelande, eller genom att bekräfta inloggningen i en app på telefonen. Telefonnumret och appen måste registreras av användaren själv i systemet för flerfaktorsautentisering innan de kan användas. 
Flerfaktorsautentisering kommer att bli obligatoriskt för samtliga hanken-konton under 2022. 

När måste jag autentisera mig med flerfaktorsautentisering?

Flerfaktorsautentisering aktiveras när systemet inte är säker på om inloggningen kommer från kontots riktiga ägare eller någon annan. I stort sett gäller följande regler:
•    Om du är uppkopplad i Hankens personalnät, eller har VPN-kontakt öppnad till Hanken, anses det vara klart att du är kontots innehavare och flerfaktorsautentisering behövs inte.
•    Flerfaktorsautentisering behövs om du tar i bruk en ny dator, telefon, app eller webbläsare. Efter det behövs flerfaktorsautentisering inte på nytt från samma apparat eller app. 
•    Flerfaktorsautentisering kan krävas om systemet av någon anledning anser din inloggning vara suspekt. Det kan till exempel inträffa om du reser och loggar in från ett annat land.
•    Flerfaktorsautentisering krävs för säkerhets skull på nytt efter ett antal månader.  

Betyder det här att jag måste ha telefonen med mig hela tiden?

Ja, i praktiken. Telefonen används som verktyg för flerfaktorsautentiseringen just för att den är något som praktiskt taget alla har med sig hela tiden. Systemet försöker minimera situationerna där du måste autentisera dig. Det kan hända att du kan arbeta länge utan en enda autentisering, beroende på hur du använder ditt konto. Men det är ändå omöjligt att helt förutse när en autentisering krävs. Därför ska man ha telefonen, eller någon annan registrerad mobilapparat, med sig när man tänker använda kontot.  

Vilka telefoner kan användas för flerfaktorsautentisering?

Praktiskt taget alla mobiltelefoner och surfplattor. Både traditionella och smarta telefoner kan användas. Kravet är att den kan ta emot textmeddelanden (SMS) eller köra en app för iPhone/iPad eller Android. Praktiskt taget alla smarta telefoner klarar bådadera. På surfplattor utan telefonabonnemang kan man använda appen via WiFi. 

Vilka metoder kan användas för flerfaktorsautentisering?

Fler metoder erbjuds för att passa så många användare som möjligt och erbjuda redundans om den primära metoden inte är tillgänglig.

  • Call my authentication phone number
    Systemet ringer upp din telefon med ett vanligt samtal och inloggningen bekräftas med en tangenttryckning. Två alternativa telefonnummer kan vara registrerade.
  • Text code to my authentication phone number
    Systemet sänder ett textmeddelande (SMS) till din telefon. Man bekräftar inloggningen med koden i textmeddelandet. Två alternativa telefonnummer kan vara registrerade.
  • Notify me through the app
    Inloggningen visar en tvåsiffrig kod. Man bekräftar inloggningen genom att mata in koden i en app på telefonen. Appen kan vara registrerad på flera telefoner. 
  • Use verification code from app or token
    Appen på telefonen visar en kod. Man bekräftar inloggningen med koden som appen visar. Appen kan vara registrerad på flera telefoner.

Kan jag använda mitt Hanken-mobiltelefonnummer för flerfaktorsautentisering?

Ja. Vi rekommenderar att ditt Hanken-telefonnummer är ditt primära nummer för flerfaktorsautentisering. 

Kan jag använda ett privat telefonnummer för flerfaktorsautentisering?

Ja. Vi rekommenderar att man registrerar fler nummer för att minimera risken att bli utestängd från sitt konto. Ett privat nummer kan vara det primära numret om du oftare har den telefonen med när du loggar in.

Kostar det mig något om jag registrerar mitt privata telefonnummer?

Nej, numret tar emot textmeddelande (SMS) om du väljer att göra flerfaktorsautentisering med det. Systemet ringer eller sänder aldrig någonting från ditt nummer. Observera att det kan kosta att ta emot SMS om du är utomlands. 

Är det säkert att mata in sitt telefonnummer för flerfaktorsautentisering? Kan jag använda ett hemligt nummer?

Ja. Hankens register för flerfaktorsautentisering följer reglerna i GDPR och är separat från alla andra personregister. Telefonnumren som matas in används inte för någonting annat än flerfaktorsautentisering. Datacentralens administratörer i Microsoft 365 kan ha teknisk åtkomst till numren, men lagstiftning begränsar deras rätt att hantera informationen. 

Vilka fördelar har flerfaktorsautentisering med appen?

Appen erbjuder ett alternativ till autentisering med SMS, som många upplever som behändigare. Appen är också ett alternativ om SMS av någon anledning inte är tillgängligt, vilket kan hända om ens telefonabonnemang inte fungerar under resor. Appen använder datatrafik och kräver inte ett aktivt teleabonnemang. Den fungerar fast man endast har tillgång till WiFi. 

Vilka mobila apparater kan jag använda appen på?

Appen fungerar på praktiskt taget alla iPhone- och Android-telefoner. Den fungerar också på surfplattor. Du kan installera appen på både privata och Hanken-ägda apparater. Det är en god idé att registrera fler än en apparat för flerfaktorsautentisering för det minskar risken att bli utlåst. 

Kostar det mig något att installera appen på min privata telefon? 

Nej, inte i praktiken. Appen är gratis och den överför endast små mängder data, den använder inte samtal eller textmeddelanden (SMS). Kostnaden är noll om man har ett obegränsat data-abonnemang. Kostnaden torde vara liten också utomlands fast man betalar ett högre pris per överförd datamängd. Koppla upp apparaten mot WiFi om dataöverföringens kostnad är ett problem. 

Varför lönar det sig att registrera fler än en autentiseringsmetod?

När systemet kräver flerfaktorsautentisering är det en obligatorisk åtgärd som inte kan kringgås. Om du av någon anledning inte kan använda din enda metod är du utlåst från ditt konto. Appen räddar dig om ditt telefonabonnemang av någon anledning inte fungerar, vilket t.ex. kan inträffa utomlands. Fler registrerade nummer räddar om du har fel telefon med dig eller en av dem är borttappad eller har tomt batteri. Om du tappar din enda telefon kan du varken använda SMS eller appen. Då räddas du av att ha appen på surfplattan också. 

Varför måste jag mata in en kod när jag autentiserar mig med appen?

Koden är nödvändig för att bekämpa en hackerteknik som kallas ”MFA fatique”. Om appen inte krävde en kod kan en hacker göra upprepade inloggningsförsök tills kontots ägare tröttnar och accepterar för att bli av med eländet. Det här fungerar inte om en kod krävs. Man kan bara acceptera egna inloggningar för annars vet man inte koden som visas på inloggningsskärmen. 

Hur ska jag göra när appen ber mig mata in ett nummer som den täcker så att jag inte kan se det?

Ett användbarhetsproblem kan uppstå om man loggar in med flerfaktorsautentisering på samma mobila enhet där appen är installerad. Då kan appen täcka inloggningsfönstret där en kod visas, och inloggningen kan inte accepteras utan koden. Appen har en funktion som heter ”I can’t see the number” och är avsedd för just den här situationen. Bläddra lite nedåt i appens inmatningsfönster om den inte syns direkt. 

Vad ska jag göra om flerfaktorsautentisering krävs men jag inte kan använda någon av metoderna?

Om du har en Hanken-dator kan du aktivera VPN och kringgå kravet på flerfaktorsautentisering på det sättet. Om du då kan komma åt aka.ms/MFAsetup Opens in new window utan att göra flerfaktorsautentisering kan du registrera ett annat telefonnummer eller appen på en annan mobilenhet. Om du fortfarande inte kan logga in och kontaktar help@hanken.fi så sänd om möjligt e-posten från ditt Hanken-konto. Datacentralen kan hjälpa dig komma in, men vi måste försäkra oss om att avsändaren verkligen är kontots innehavare. Annars finns risken att e-posten kommer från en utomstående som försöker bryta sig in genom att kontakta help. 

Varför visar kartan i appen fel position?

Autentiseringsappen kan visa varifrån datatrafiken kommer när man försöker logga in. Det här är nästan aldrig ens exakta position, utan beror på hur teleoperatören har skött sina kontakter till Internet. Den visade positionen är ändå i rätt land och brukar vara i rätt del av landet. Om man använder Hankens VPN ser trafiken ut att komma från Hanken och om man använder en annan VPN beror positionen på vad man valt i VPN-programmet. 
Kartan ska tolkas så att om den visar en position i en helt annan del av världen och man inte försöker logga in just då så är det med största säkerhet frågan om att någon försöker kapa ens konto. Då lönar det sig att ta kontakt med help@hanken.fi utan dröjsmål. 

Går det att bryta sig in i ett konto som skyddas av flerfaktorsautentisering?

Ja, men det är betydligt svårare än för vanliga konton. Den effektivaste metoden är att lura användaren att överlåta bekräftelsekoder. Det kan till exempel låta så här. Telefonen ringer. ”Hej, det från Hankens support. Vi har problem med inloggningsfunktionen och måste verifiera att din flerfaktorsautentisering fungerar. Annars kan det hända att du snart blir utlåst. Du kommer att se en kod på telefonen om ett ögonblick. Kan du läsa upp koden så att jag kan kolla om den är rätt.” Datacentralen ringer aldrig och ställer en sådan här fråga. En hacker som kommit över kontots lösenord kan däremot göra det, och slutföra inloggningen så fort den intet ont anande användaren avslöjat koden.