Säkerhetskontroll

MFA-kontroll: kräver ni tvåfaktor, eller bara erbjuder det?

De flesta kontobrott börjar med ett stulet lösenord. MFA stoppar dem — men bara om det är påtvingat för alla, inte valfritt. Vi kontrollerar om er GitHub-org och era exponerade tjänster faktiskt kräver tvåfaktor.

Kör gratis domänscan Alla kontroller →
Berör: SOC 2 · CC6.1 — autentisering ISO 27001 · A.5.17 autentiseringsinformation NIS2 · art. 21 — åtkomstkontroll & MFA CIS · Controls v8 — 6.3/6.5

Vad kontrolleras?

Vi kontrollerar om multifaktorautentisering är påtvingad där det räknas: i er GitHub-org (org-inställning som kräver 2FA för alla medlemmar), och om exponerade inloggnings- och admin-gränssnitt tillåter inloggning utan andra faktor.

Varför spelar det roll?

Skillnaden mellan 'MFA är möjligt' och 'MFA krävs' avgör om ett stulet lösenord räcker för intrång. NIS2 lyfter uttryckligen MFA, och SOC 2 CC6.1 underkänns ofta just för att MFA inte är påtvingat i hela organisationen.

Hur Security Guru testar det

Vanliga fel

  • MFA rekommenderat men inte påtvingat på org-nivå
  • Enskilda service-/maskinkonton undantagna 'tillfälligt'
  • SMS-baserad MFA som går att SIM-swappa i stället för app/nyckel
  • Externa collaborators inbjudna utan MFA-krav

Vad du får i rapporten

  • MFA-status: påtvingat eller valfritt, per org/tjänst
  • Konton utan aktiverad MFA
  • Exponerade gränssnitt utan andra faktor
  • Mappning mot SOC 2 CC6.1 / ISO A.5.17 / NIS2

Vanliga frågor

Kollar ni bara GitHub?

Nej — vi kontrollerar GitHub-orgens MFA-tvång och letar även efter exponerade inloggnings-/admin-gränssnitt som tillåter inloggning utan andra faktor.

Är SMS-MFA tillräckligt?

Bättre än inget, men SMS kan kringgås via SIM-swap. Vi rekommenderar app- eller hårdvarubaserad MFA för konton med hög behörighet.

Ändrar ni våra inställningar?

Nej — vi läser bara. Ni aktiverar tvånget utifrån vår rapport.

Vill du veta din status?

Kör en gratis scan eller beställ en full Security Assessment — prioriterat, inte brus.

Kör gratis domänscan