Du er her:

Bransjeaktuelt

Viktigheten av passord, 2FA og MFA for regnskapsførere

Hva er passord, 2FA og MFA? Et sterkt passord er langt, unikt og inneholder en blanding av bokstaver, tall og spesialtegn.

21.10.25
Skrevet av  Bjørn Kienholz Bjercke, Regnskap Norge
Del
Bruk hodet før du velger passord! Foto: AdobeStock

Passord er en grunnleggende sikkerhetsmekanisme som brukes til å autentisere brukere ved å kreve en hemmelig kombinasjon av tegn for å få tilgang til systemer eller data.

Tofaktorautentisering (2FA) legger til et ekstra sikkerhetslag ved å kreve to ulike autentiseringsmetoder, for eksempel noe du vet (passord) og noe du har (en kode sendt til telefonen). Dette gjør det vanskeligere for angripere å få tilgang selv om passordet kompromitteres. 

Flerfaktorautentisering (MFA) utvider 2FA ved å inkludere flere autentiseringsfaktorer, som noe du er (biometri, som fingeravtrykk) eller noe du har (en fysisk sikkerhetsnøkkel). MFA er spesielt robust mot avanserte angrep. 

Eksempler  

  • En angriper stjeler et svakt passord gjennom phishing eller brute force-angrep (prøver mange kombinasjoner). For eksempel kan en regnskapsfører som bruker «Regnskap123» få kontoen hacket hvis passordet lekker.
  • AI-drevne verktøy kan gjette passord raskere eller generere overbevisende phishing-e-poster for å lure brukere til å avsløre 2FA-koder. Deepfake-teknologi kan også brukes til å etterligne stemmer i svindeltelefonsamtaler for å få tilgang til koder. 

Regnskapsførere håndterer sensitiv økonomisk informasjon, som gjør dem til et hovedmål for cyberkriminelle. Her er hva du må være oppmerksom på: 

  • Gjenbrukte eller enkle passord, som «Passord123», er svært sårbare. Bruk unike passord for hver konto, gjerne et passord strategi eller generert av en passordbehandler.
  • E-poster eller meldinger som ber om passord eller 2FA-koder må behandles med skepsis. Sjekk alltid avsenderens legitimitet.
  • En telefon eller datamaskin uten oppdaterte sikkerhetstiltak kan kompromittere 2FA-koder. Sørg for at enheter er sikret med lås og antivirusprogramvare.
  • Tradisjonell 2FA, som SMS-koder, kan være sårbar for SIM-swapping eller phishing. Vurder sterkere alternativer som autentiseringsapper eller sikkerhetsnøkler.
  • Bruk MFA der det er mulig, spesielt for tilgang til regnskapssystemer, bankkontoer og e-post. 

Trusselvurderingene fra Etterretningstjenesten, NSM, PST, Kripos, Politiets trusselvurdering og Økokrim understreker at svake autentiseringsmetoder øker risikoen for cyberangrep: 

  • NSM advarer om at svake passord og utilstrekkelig 2FA er hovedårsaker til datainnbrudd. De anbefaler phishingresistent MFA, som FIDO2-passnøkler, for å beskytte sensitive systemer.
  • PST peker på at utenlandske aktører utnytter svake autentiseringsmetoder for spionasje og økonomisk kriminalitet, med regnskapsførere som inngangspunkter til større virksomheter.
  • Cyberangrep, inkludert de som utnytter svake passord, er en del av et bredere trusselbilde mot små bedrifter med begrensede sikkerhetsressurser.
  • Politiet rapporterer en økning i datainnbrudd der svake passord eller manglende MFA er årsaken, spesielt i økonomisk kriminalitet.
  • Økokrim fremhever at økonomisk svindel ofte starter med kompromitterte kontoer på grunn av svake autentiseringsmetoder, og anbefaler robust MFA. 

Regnskapsførere må forholde seg til bokføringsloven, regnskapsloven og God regnskapsføringsskikk (GRFS) for å sikre samsvar og beskyttelse: 

  • Krever sikker oppbevaring av regnskapsdata. Svake passord eller manglende MFA som fører til datalekkasje kan bryte loven.
  • Still krav til et rettvisende årsregnskap. Et datainnbrudd på grunn av dårlig autentisering kan kompromittere dataintegriteten og føre til feil i regnskapet.
  • Pålegger regnskapsførere å utvise aktsomhet og etablere rutiner for å beskytte sensitive data. Dette inkluderer bruk av sterke passord og MFA for å sikre systemer mot uautorisert tilgang. 

For å beskytte deg mot trusler: 

  • Bruk lange, unike passord med passord strategi eller generert av en passordbehandler. Unngå gjenbruk.
  • Implementer MFA på alle kritiske systemer, fortrinnsvis med sikkerhetsnøkler eller autentiseringsapper i stedet for SMS.
  • Tren ansatte i å gjenkjenne phishing og sikre enheter.
  • Etabler prosedyrer for regelmessig oppdatering av passord og sikkerhetstiltak i tråd med GRFS.
  • Bruk sikkerhetsprogramvare for å oppdage uautorisert tilgang. 

Hvis en regnskapsfører opplever et sikkerhetsbrudd: 

  • Reager raskt: Endre alle kompromitterte passord og deaktiver berørte kontoer.
  • Varsle: Kontakt banken, politiet og Datatilsynet ved datalekkasje. Informer kunder om nødvendig.
  • Analyser: Undersøk årsaken til bruddet for å styrke sikkerheten.
  • Forbedre: Implementer sterkere MFA og oppdater rutiner for å hindre gjentakelse. 

Ved å bruke sterke passord, robust MFA og følge lovverket og GRFS kan regnskapsførere beskytte sensitive data og minimere risikoen for cyberangrep. 

Artikkelen er skrevet med noe hjelp fra KI.