Wired-journalist Mathew Honan ble hacket voldsomt denne uken og mistet tilgangen til flere nettkonti, i tillegg til at både mobiltelefon, nettbrett og PC ble slettet. Foto: Honans Google+-profil
Wired-journalist Mathew Honan ble hacket voldsomt denne uken og mistet tilgangen til flere nettkonti, i tillegg til at både mobiltelefon, nettbrett og PC ble slettet. Foto: Honans Google+-profilVis mer

Gjør Gmail sikrere

To-stegs-autentisering kan være en reddende engel.

Er du godt over middels interessert i teknologi, har du muligens fått med deg ukens snakkis; Wired-journalisten Mathew Honan som ble hacket noe så inn i granskauen, for å bruke et litt folkelig uttrykk.

I kjølvannet av hendelsen har det kommet frem at hackerens motiv i utgangspunktet var å kapre Honans Twitter-konto, @mat. Tre bokstaver er tydeligvis gjevt.

Du kan lese alt om det i Mats blogginnlegg, men for å ta det i korte trekk skjedde dette:

  • Mat oppdager at iPhonen hans plutselig blir restartet og fremstår som en "blank" telefon.
  • Minuttet etter slettes iPaden hans (noe han oppdager litt senere).
  • Når han så går for å koble telefonen til Macbook Airen sin for å gjenopprette siste backup, blir han bedt om en PIN-kode for å låse den opp. Mat har ingen PIN-kode. Rett etterpå er hele Macbook Airen slettet, inkludert et år med bilder av datteren som han ikke har backup av. Enhetene ble slettet via Apples iCloud-tjeneste.
  • Minutter etterpå er Twitter-kontoen kapret. Gizmodo sin konto også, siden Mat jobbet der tidligere og fortsatt hadde tilgang.
  • Mat tar frem konas laptop og prøver å logge på Gmail-kontoen sin. Men nei. Passordet er feil. Senere er Google-kontoen slettet.

På minutter er i praksis hele Honans digitale identitet overtatt av andre.

Men hvordan?

En skulle kanskje tro at Mat hadde brukt svært dårlige passord på disse tjenestene, men det var ikke tilfellet. Med en snedig fremgangsmåte som inkluderer å ringe kundeservice hos Amazon og Apple, klarte hackeren å flette sammen mange løse tråder.

Det vitale er at Amazon oppgir de fire siste sifrene i kredittkortnummeret. Disse fire sifrene brukes av Apples kundesupport for å verifisere at den som ringer inn er riktig person.

Vil du lese hele historien om hvordan det gikk til, peker vi deg herved til Mats Wired-artikkel. Den er ganske lang (men interessant!), så du vil muligens legge den i "les senere"-listen.

Så til poenget: Mye av dette kunne ha vært forhindret dersom Mat hadde aktivert Googles to-stegs-verifisering, og det er nettopp dette vi vil belyse i denne artikkelen. Mange DinSide-lesere bruker Gmail og andre Google-tjenester, og kanskje er dette det lille varskoet man trenger for å sikre kontoen sin litt ekstra.

Noe du vet og noe du har

Det er et velkjent prinsipp innenfor datasikkerhet at man får den beste sikkerheten når man kombinerer noe en vet med noe en har. Derfor er for eksempel nettbanker utstyrt både med passordet (som du vet) og en kodebrikke/kodekort/PIN-kode på SMS etc. (noe du har).

Den sikkerheten kan du også få på Google-kontoen din. Ved å aktivere tostegsautentiseringen endres påloggingsrutinen noe. I tillegg til å oppgi brukernavn og passord, må du også supplere med en kode du enten får tilsendt på SMS, eller som genereres i Googles "authenticator"-app. På samme måte som en kodebrikke, altså.

Du trenger imidlertid ikke å gå igjennom dette hver gang du logger på – om du vil kan du velge å tillate den gjeldende enheten å logge seg på uten ekstra sikkerhet i 30 dager. Du vil typisk da gjøre dette på hjemme-PC-en, men ikke på PC-en på nettkafeen. Skulle noen finne passordet ditt og prøve å logge seg på fra en ny enhet, vil de ikke få det til – med mindre de samtidig har klart å stjele telefonen din.

>> Slik fungerer Googles tostegsautentisering

En liten pekefinger til slutt: Husk at den primære epostkontoen din antakteligvis er den siste kontoen du vil at noen skal overta. Ikke bare fordi den sikkert allerede har mye personlig informasjon, men også fordi det da er lett som en plett å be om nye passord på andre nettjenester etc.

PS! Mat ville allikevel ikke ha unngått at i-enhetene hans ble slettet. For det måtte han ha latt være å aktivere "finn min iPhone/iPad/Mac"-tjenestene, men det finnes strengt tatt flere gladhistorier der denne tjenesten har hjulpet, så det er ikke noe vi uten videre vil fraråde deg å bruke.

SAMLESIDE: BACKUP

Les også: Lastpass gjør nettlivet sikrere