Safety squared

Totrinnsbekreftelse kan hjelpe brukere med å beskytte seg bedre på nettet. Google-kontoer har flere alternativer

Et vellykket datahack-angrep kan ha ubehagelige konsekvenser. Det har vært tilfeller der ukjente angripere har brukt ofrenes kontoer til å trolle med brukernavnene deres på sosiale medier eller sende svindel-e-post. Andre har opplevd at penger har forsvunnet fra nettbankkontoene deres. Ofte legger ikke folk merke til at kontoene deres er blitt hacket før skaden allerede har skjedd.

En grunn til at datatyveri skjer igjen og igjen, er at folk flest stoler for mye på at passordene deres beskytter dem på nettet. Folk er ikke klar over at det finnes lister på nettet som inneholder millioner av brukernavn- og passordkombinasjoner. Disse «passorddumpene», som ekspertene kaller listene, er satt sammen av data hentet fra en rekke vellykkede tilfeller av datatyveri. Ettersom mange bruker passordene sine til flere ting, finner man også påloggingsdataene for Google-kontoene deres i disse «passorddumpene», selv om kontoene deres ikke egentlig har vært hacket. Nettfisking utgjør en annen konstant trussel – bedragerske forsøk på å få tak i passord og annen informasjon via tilsynelatende troverdige e-postmeldinger eller nettsteder.

Derfor anbefaler selskaper som Google at brukere sikrer kontoene sine på nettet med totrinnsbekreftelse, som går ut på å bruke to forskjellige typer legitimasjon for å logge på – for eksempel et passord pluss en kode sendt via SMS. Denne autentiseringsmetoden er blitt svært vanlig, spesielt for banker og kredittkortselskap.

Sikkerhetseksperter skiller mellom tre typer grunnleggende sikkerhetsfaktorer. Den første er litt informasjon («noe du vet»): En kunde kan for eksempel motta en kode via SMS og skrive den inn, eller vedkommende må svare på et sikkerhetsspørsmål. Den andre er en fysisk gjenstand («noe du har») som kan brukes til autentisering, for eksempel et kredittkort. Den tredje er biometriske data («noe du er»), for eksempel når smarttelefonbrukere låser opp skjermen med fingeravtrykket sitt. Alle strategier for totrinnsbekreftelse bruker en kombinasjon av to av disse ulike faktorene.

Google tilbyr forskjellige typer totrinnsbekreftelse. I tillegg til det tradisjonelle passordet kan brukerne skrive inn en éngangssikkerhetskode som de mottar via SMS eller taleanrop, eller som de genererer i Google Autentisering-appen, som kjører på Android og på Apples operativsystem for mobilenheter, iOS. Brukerne kan også oppgi en liste over godkjente enheter i de respektive Google-kontoene sine. Hvis en bruker prøver å logge på fra en enhet som ikke er på listen, kan vedkommende motta en sikkerhetsadvarsel fra Google.

De siste tre årene har Google også tilbudt brukerne muligheten til å bruke et fysisk sikkerhetstoken, som kalles en sikkerhetsnøkkel. Dette er en USB-, NFC- eller Bluetooth-sikkerhetsnøkkel som må være koblet til den aktuelle enheten. Prosessen er basert på en åpen standard for autentisering som kalles Universal 2nd Factor (U2F), utviklet av FIDO-konsortiet. Google er del av det konsortiet sammen med selskaper som Microsoft, Mastercard og PayPal. Sikkerhetstokener basert på U2F-standarden er tilgjengelige fra forskjellige produsenter mot en liten avgift. De har vært veldig vellykket – etter innføringen av sikkerhetsnøkler har risikoen for datatyveri blitt redusert betraktelig. En nettbasert konto kan teoretisk sett hackes fra hvor som helst i verden, men et fysisk sikkerhetstoken må faktisk være i hendene til tyvene (som også trenger ofrenes påloggingsinformasjon for å få tilgang til kontoen). Flere selskaper i tillegg til Google støtter allerede disse sikkerhetstokenene.

Totrinnsbekreftelse har selvsagt også sine ulemper. De som bruker tekstkoder, må ha mobiltelefonene sine klare når de logger på fra en ny enhet. Og USB- og Bluetooth-sikkerhetsnøkler kan gå tapt. Men dette er ikke uoverkommelige problemer, og det er definitivt verdt å ta sjansen når man tar i betraktning hvor mye ekstra sikkerhet de tilbyr. Brukere som mister sikkerhetsnøkkelen sin, kan fjerne tokenet de har mistet, fra kontoen, og legge til et nytt. Et annet alternativ er å registrere en ekstra sikkerhetsnøkkel fra starten av og oppbevare den på et trygt sted.

For å få mer informasjon, gå til:

g.co/2step

Illustrasjon: Birgit Henne