MFA är inte längre en pålitlig säkerhetsgräns

Sammanfattning

Multifaktorautentisering (MFA) behandlas fortfarande som ett primärt skydd mot kontokapning.

Det antagandet är föråldrat.

Moderna angripare kringgår rutinmässigt MFA — inte genom att bryta kryptografi eller autentiseringssystem, utan genom att avlyssna aktiva inloggningssessioner i realtid.

Resultatet är en växande kategori incidenter där både lösenord och MFA används korrekt av offret — och ändå leder till fullständig kompromittering.

Kontrollen fallerar inte tekniskt.

Den utnyttjas operativt.

1. Vad MFA var tänkt att lösa — och vad det inte längre täcker

MFA introducerades för att lösa ett specifikt problem:

Stulna eller återanvända lösenord som används för obehörig inloggning.

I det sammanhanget höjde MFA attackkostnaden avsevärt.

Men MFA förutsätter ett kritiskt villkor:
- Att användaren autentiserar sig direkt mot den legitima tjänsten
- Att autentiseringshändelsen inte vidarebefordras eller avlyssnas

Det villkoret gäller inte längre i en stor del av verkliga attacker.

2. Aktuellt attackmönster: Adversary-in-the-middle (AiTM)

Den dominerande kringgångstekniken idag är inte lösenordsknäckning.

Det är realtidsavlyssning.

Typiskt attackflöde:
1. Användaren får ett övertygande nätfiskemeddelande (e-post, SMS, Teams etc.)
2. Användaren omdirigeras till en falsk inloggningssida som fungerar som en live-proxy mot den riktiga tjänsten
3. Användaren anger användarnamn och lösenord
4. Proxyn vidarebefordrar inloggningsuppgifterna direkt till den riktiga identitetsleverantören
5. Det riktiga systemet utlöser MFA som förväntat
6. Användaren slutför MFA (push-godkännande, engångskod, autentiseringsapp)
7. Angriparen fångar den autentiserade sessionen i realtid

Vid inget tillfälle misslyckas autentiseringen.

Ur alla systemperspektiv:
- inloggningen lyckades
- MFA lyckades
- sessionen är giltig

Ur ett säkerhetsperspektiv:

angriparen är nu omöjlig att skilja från användaren.

3. Varför MFA inte stoppar den här typen av attack

MFA utför fortfarande sin avsedda funktion: att verifiera innehavet av en andra faktor.

Problemet är inte att autentiseringen misslyckas.

Problemet är sessionsvidarebefordran.

När en angripare agerar som mellanhand:
- MFA slutförs av den legitima användaren
- tokens utfärdas normalt
- sessionscookies skapas legitimt
- angriparen återanvänder dem helt enkelt

MFA kringgås inte.

Det utförs på uppdrag av angriparen.

4. Operativ påverkan (vad som händer efter kompromittering)

När sessionskapningen är genomförd får angriparen vanligtvis tillgång till:
- E-post (ihållande och tyst övervakning)
- Molnapplikationer (M365, Google Workspace, SaaS-verktyg)
- Identitetsförtroendespridning (SSO-anslutna system)
- Möjlighet att återställa lösenord och MFA-metoder

I detta skede:

angriparen "bryter sig inte in" ytterligare — de agerar som användaren.

Upptäckt fördröjs ofta tills finansiell, data- eller operativ skada redan har inträffat.

5. Det centrala missförståndet i de flesta organisationer

Många små och medelstora företag, och även mogna organisationer, utgår fortfarande från denna övertygelse:

"Om MFA är aktiverat är risken för kontokapning effektivt hanterad."

Det stämmer inte i miljöer som är exponerade för modern nätfiskeinfrastruktur.

Den verkliga risken handlar inte längre om:
- lösenordsstyrka
- eller förekomst av MFA

Det handlar om:
- autenticiteten i interaktionen
- och sessionens integritet

Inget av dessa garanteras av traditionella MFA-system.

6. Framväxande kontroll: Passkeys och lösenordsfri autentisering

Branschens svar är en strukturell övergång till kryptografisk autentisering.

Passkeys (FIDO2 / WebAuthn)

Passkeys ersätter delade hemligheter (lösenord och engångskoder) med:
- kryptografi baserad på publika/privata nycklar
- enhetsbaserad autentisering
- ursprungsbunden verifiering (domänspecifik bindning)

Varför detta är viktigt

Till skillnad från MFA:
- finns det ingen återanvändbar hemlighet att stjäla
- finns det ingen kod att avlyssna
- är autentiseringen bunden till den legitima domänen

En nätfiskesida kan inte reproducera den kryptografiska utmaning som krävs av den riktiga tjänsten.

Detta eliminerar den främsta fördelen med AiTM-attacker: vidarebefordran av inloggningsuppgifter

7. Begränsningar i övergången

Trots sina fördelar är passkeys ännu inte universellt implementerade.

Utmaningarna inkluderar:
- kompatibilitet med äldre system
- komplexitet vid företagsmigration
- återställningsflöden vid borttappade enheter
- ojämn adoption bland SaaS-leverantörer

Resultatet är:

de flesta organisationer befinner sig för närvarande i ett hybridexponeringstillstånd.

Lösenord finns kvar.
MFA finns kvar.
Passkeys är delvis implementerade.

Och angriparna är redan optimerade för detta hybridtillstånd.

8. Strategisk implikation för ledningen

Säkerhetsläget bör inte längre mätas utifrån "införda kontroller".

Det bör bedömas utifrån:
- exponering av autentiseringsytor
- motståndskraft mot realtidsnätfiske
- insyn i läckta och återanvända inloggningsuppgifter
- förmåga att upptäcka sessionsavvikelser efter autentisering

Om en organisation inte kan besvara dessa frågor tydligt:

MFA-efterlevnad bör inte förväxlas med säkerhetsmognad.

Slutsats

MFA är fortfarande en värdefull kontroll.

Men det är inte längre en gräns.

Det är en kontrollpunkt i ett autentiseringsflöde som kan genomföras fullständigt av en angripare i realtid.

Förändringen som pågår är inte inkrementell.

Den är strukturell:
- från lösenordsbaserad identitet
- till kryptografisk identitet
- från autentiseringshändelser
- till sessionsintegritet och förtroendevalidering

Organisationer som inte inser denna skillnad kommer att fortsätta uppleva intrång som framstår som paradoxala:

"MFA var aktiverat — men vi blev ändå kompromitterade."

Det är inte längre en anomali.

Det är ett förutsägbart resultat av en förändrad attackmodell.