Heltäckande säkerhet

Att bli hackad kan få besvärliga konsekvenser. Det händer att okända angripare använder sina offers konton för att utnyttja användarens namn i sociala medier eller för att skicka falska e-postmeddelanden. Andra blir av med pengar från sina bankkonton. Människor märker ofta inte att deras konton har blivit hackade förrän skadan redan är skedd.

En anledning till att datastölder är så pass vanliga är att de flesta användare förlitar sig för mycket på att deras lösenord ska skydda dem på webben. Människor känner inte till att det finns listor på nätet med kombinationer av miljontals användarnamn och lösenord. Dessa listor kallas för lösenordsdumpar av experterna och är sammanställda av data som hämtats från otaliga datastölder. Eftersom många människor använder sina lösenord på flera ställen kan inloggningsuppgifter till deras Google-konton förekomma i dessa lösenordsdumpar, trots att deras konton inte har blivit hackade. Ett annat ständigt hot är nätfiske – det innebär att en bedragare försöker komma åt lösenord och annan information via till synes tillförlitliga e-postmeddelanden eller webbplatser.

På grund av detta rekommenderar företag som Google att användare gör sina onlinekonton säkrare med hjälp av tvåfaktorsautentisering, vilket omfattar två separata faktorer vid inloggning – till exempel ett lösenord plus en kod som skickas via sms. Denna autentiseringsmetod har blivit väldigt vanlig, särskilt för banker och kreditkortsföretag.

Säkerhetsexperter skiljer mellan tre grundläggande typer av säkerhetsfaktorer. Den första är information (”något du vet”): en användare kan till exempel få en kod via sms som ska anges eller så besvarar användaren en säkerhetsfråga. Den andra är ett fysiskt föremål (”något du har”) som kan användas för autentisering, till exempel ett kreditkort. Den tredje är biometrisk data (”något du är”), som när en smartphoneanvändare låser upp skärmen med sitt fingeravtryck. All tvåfaktorsautentisering använder en kombination av två av dessa faktorer.

Google har olika typer av tvåfaktorsautentisering. Utöver traditionella lösenord kan användare ange en engångskod som de får via sms eller röstsamtal, eller som de genererar med appen Google Authenticator, som körs på Android och på Apples mobila operativsystem iOS. Användare kan även skapa en lista över betrodda enheter för sina Google-konton. Om en användare försöker logga in från en enhet som inte finns på listan får hen en säkerhetsvarning från Google.

Under de senaste tre åren har Google även erbjudit användarna ett alternativ med en fysisk säkerhetstoken, en så kallad säkerhetsnyckel. Detta är en USB-, NFC eller Bluetooth-nyckel som måste anslutas till enheten. Processen bygger på en öppen autentiseringsstandard som heter Universal 2nd Factor (U2F) och har utvecklats av FIDO-konsortiet. Google ingår i konsortiet tillsammans med företag som Microsoft, Mastercard och PayPal. Säkerhetstokens som bygger på U2F-standarden är tillgängliga från olika tillverkare mot en liten avgift. De har visat sig vara mycket effektiva – sedan säkerhetsnycklar infördes har risken för datastöld minskat betydligt. Ett onlinekonto kan teoretiskt sett hackas från vilken plats som helst i världen, men en fysisk säkerhetstoken måste finnas i handen på tjuven (som också skulle behöva offrets inloggningsuppgifter för att komma åt kontot). Ett stort antal företag utöver Google stöder redan säkerhetstokens.

Det finns förstås även nackdelar med tvåfaktorsautentisering. Personer som använder sms-koder måste ha telefonen nära till hands när de loggar in från en ny enhet. Och det går att tappa bort USB- och Bluetooth-nycklar. Men detta är inga omöjliga problem, och det är utan tvekan värt risken med tanke på hur mycket ytterligare säkerhet de ger. Den som förlorar en säkerhetsnyckel kan ta bort sin borttappade token från kontot och lägga till en ny. Ett annat alternativ är att registrera en andra säkerhetsnyckel redan från början och förvara den på ett säkert ställe.

Mer information finns på g.co/2step

Illustration: Birgit Henne