Tofaktorautentisering (2FA) ved UiO

Innføringsprosjekt for tofaktorautentisering (2FA), også kjent som flerfaktorautentisering (multifaktorautentisering - MFA), ved UiO.

Bakgrunn

Brukernavn og passord på avveie er den sikkerhetshendelsen som forekommer oftest på UiO, og det kan medføre brudd på alle de tre prinsippene om konfidensialitet, integritet og tilgjengelighet. Når brukernavn og passord kommer på avveie, kan en målrettet trusselaktør utrette stor skade for både den enkelte og for institusjonen. Det har vært hendelser hvor én del av UiO sin IT-infrastruktur har blitt benyttet, ved hjelp av brukernavn og passord på avveie, for å angripe eller misbruke andre deler av infrastrukturen.

Illustrasjonsbilde av 2FA / MFA

Tofaktorautentisering (2FA) er det viktigste tekniske tiltaket som vi ser kan hjelpe til med å begrense denne typen angrep. I praksis betyr det at sluttbruker i tillegg til å oppgi brukernavn og passord, også må oppgi en engangskode får i en tekstmelding, mobilapp eller lignende for å kunne logge på gitte IT-tjenester. 

Det er også kommet henvendelser fra enheter og forskergrupperinger med et sterkt ønske om denne typen beskyttelse.

Dette prosjektet er starten og en viktig forutsetning for flere prosjekter som er underplanlegging. 2FA er f. eks. en forutsetning for at UiO skal kunne ta i bruk Microsoft 365 til behandling og lagring av sensitive data (rødt).

Universitetets IT-direktør har fremlagt behovet for dette sikkerhetsløftet for universitetsdirektøren i juni dette år, og prosjektet har forankring i UiOs øverste ledelse.

Formål

Prosjektet for tofaktorautentiserings formål er tredelt:

  • å sikre konfidensialitet (å vite at det kun er de som skal ha tilgang til noe som har tilgang)

  • å sikre integritet (at ingenting har blitt endret uten at du er klar over det)

  • å sikre tilgjengelighet (sikre at viktige systemer er viktige for UiOs brukere)

Resultatmål og leveranse

Resultatmål

Prosjektets resultatmål er todelt:

  • Etablere brukervennlig multifaktorautentisering ved UiO
  • Redusere antallet sikkerhetshendelser hvor brukernavn og passord har kommet på avveie

Prosjekts leveranser og status:

  • Konsept
    • Godkjent: Prosjektbeskrivelse
  • MS365
    • Gjennomført: Aktivering av tofaktorautentisering ved pålogging mot MS365.
  • Feide
    • Gjennomført: Aktivere tofaktorautentisering i Feide med Azure AD.
  • Microsoft Authenticator - aktivere number matching og additional context
    • Pilot fram til 14. oktober
    • Aktiveringsdato: 17. oktober
  • Remote Desktop Connection
    • Pågår: Kreve tofaktorautentisering på rdp-gateway.
    • Tentativ aktiveringsdato: 18. oktober
  • Programkiosk
    • Pågår: Kreve tofaktorautentisering for VMWare Horizon.
    • Tentativ aktiveringsdato: 18. oktober.
  • Exchange
    • Pågår: Aktivere krav om tofaktorautentisering for webmail (OWA) og støttede e-postklienter ved UiO.
  • Mattermost
    • Planlagt: Bruke Feide med Azure AD til tofaktorautentisering ved pålogging.
  • Prosjektavslutning
    • Planlagt: Sluttrapport og overlevering til IT-organisasjonen.  

Prosjektets opprinnelige leveranser

  1. Etablere og ta i bruk 2FA for MS 365
  2. Etablere og ta i bruk autentisering med Azure AD og 2FA for Feide
  3. Etablere og ta i bruk 2FA for Exchange (e-post og kalender)

IT-direktørmøtet vedtok 23. august følgende utvidelse av prosjektet:

  • RDP-gateway
  • Mattermost
Publisert 30. sep. 2022 09:23 - Sist endret 30. sep. 2022 15:23