Flerfaktorautentisering, ofte omtalt med den engelske forkortelsen MFA (multifactor authentication), gir ekstra sikkerhetslag ved å kreve minst to uavhengige autentiseringsfaktorer. Dette øker tilliten til at den som forsøker å autentisere er den legitime brukeren. 

MFA-faktorene deles vanligvis inn i kategorier basert på noe bruker 1) vet, 2) har og 3) er. Noe bruker vet kan være et passord eller en PIN-kode. Noe bruker har er en fysisk enhet som anvendes som en av autentiseringsfaktorene under autentiseringsprosessen. Dette kan være brukerens telefon, datamaskin eller en kodebrikke. Noe brukeren er går under biometri og kan eksempelvis være fingeravtrykk eller ansiktsgjenkjenning. Ved MFA anvendes minst to faktorer av ulike kategorier.

Ikke alle typer MFA like sikre. Slik en angriper kan lure til seg et passord, kan hen også lure til seg engangskoder eller få brukere til å akseptere pushvarsler som brukeren ikke har forårsaket selv. Det er derfor viktig å se etter løsninger som er resistente mot sosial manipulering. Passnøkler kan benyttes som en av faktorene, og kan ansees som et moderne alternativ til passord.

NSM har fire anbefalinger til virksomheter knyttet til valg og utrulling av flerfaktorautentisering. Den første er nettopp å ta i bruk flerfaktorautentisering, og da gjennom løsninger som er resistente mot sosial manipulering. Den andre anbefalingen er å rulle ut MFA-løsninger på en strukturert og planlagt måte. En tredje anbefaling er å påse at MFA-løsningene og andre avhengige systemer ikke er sårbare. Den siste anbefalingen er å utføre jevnlig kontroll (revisjon).

Rapportens innhold og anbefalinger er relevante for alle virksomheter uavhengig av størrelse. Dette gir et utgangspunkt for å delta i risikovurderinger, og til både å velge og rulle ut MFA-løsninger.

Rapporten fokuserer på flerfaktorautentisering og dekker ikke andre aspekter rundt autentisering, som identifikasjon av bruker og utlevering av autentiseringsfaktorer eller generelle IT-sikkerhetstemaer som sikring av brukerklienter. Rapporten er produktnøytral.