EKSTRA SIKKERHET: Å stjele passordet ditt er enklere enn du tror. Foto: Pål Joakim Pollen
EKSTRA SIKKERHET: Å stjele passordet ditt er enklere enn du tror. Foto: Pål Joakim PollenVis mer

Tofaktorautentisering: Ekstra sikkerhet på nett

Google: – Under 10 prosent beskytter kontoen sin

Gjør det slik at du trenger mer enn passord for å logge inn.

Vi tror ikke mange vil være uenige om vi påstår at de aller fleste av oss bare bruker 2-3 passord rundt på alle verdens nettjenester, apper og lignende.

Og det er svært uheldig. Dersom du bruker den samme brukernavn/passord-kombinasjonen overalt, holder det at ett av stedene opplever datainnbrudd, og plutselig er en haug av de andre nettkontiene dine kompromittert.

Eksemplene har blitt svært mange de siste årene – nettstedet Haveibeenpwned, som lar deg søke på ditt eget brukernavn i kjente datainnbrudd, har nå samlet inn over 5 millarder hackede nettkonti.

Glemt passordet?

Selv om de store aktørene på nett som regel har ekstra fokus på passordsikkerhet, er det ikke sikkert det samme er tilfelle på det lokale bowlingsenteret, eller hos nettbutikken du handlet fotopapir til blekkskriveren fra for et par år siden.

Minst sikre er de som oppbevarer passordet ditt i klartekst, noe du som regel kan finne ut av ved å bruke «glemt passord»-funksjonen – dersom du da får tilsendt det gamle passordet ditt på e-post, betyr det at passordet ditt lagres i klartekst, eller i hvert fall veldig dårlig kamuflert.

Og for all del – om du ikke har tenkt til å følge oppfordringen i resten av denne artikkelen, så sørg i det minste for én ting: At passordet du har på e-posten din er noe annet enn alle de andre.

Tilgang til innboksen din er nemlig alt man trenger for å bruke glemt passord-funksjoner rundtom på nett og dermed få tilgang overalt der du er registrert. Så har du det samme passordet andre steder på nett: Bytt e-post-passordet nå.

Mer enn passord

Ved jevne mellomrom synes vi det er verdt å tipse om muligheten for å beskytte nettkontiene dine med mer enn et passord.

Konseptet kalles tofaktorautentisering og betyr da at det er to faktorer som avgjør om man får logget på – noe man vet (passordet) og noe man har (mobiltelefon, kodebrikke eller lignende). Du kjenner sikkert konseptet fra nettbanken din.

Det er nemlig langt flere tjenester enn nettbanken som støtter en slik mekanisme, men alt for få som bruker det. Tidligere i år kunne Google rapportere om at under ti prosent av Google-kontoene var sikret ekstra med denne beskyttelsen.

Ti prosent er et lavt tall, med tanke på hvor enormt mye informasjon som er knyttet til en Google-konto. E-poster, bilder, tidligere søk, posisjonshistorikk – for ikke å snakke om at den for veldig mange er den primære e-postkontoen, som da kan være et springbrett for å få tilgang til alt annet man er registrert på.

Du trenger ikke kode hver gang

Det høres kanskje litt tungvint ut å måtte finne frem en engangskode hver gang du skal logge på et nettsted, men vær oppmerksom på at tofaktorautentisering rundtom på nettet stort sett fungerer ved at du kun trenger en kode første gang du logger på fra en ny enhet. Når enheten er klarert, holder det med passordet etterpå.

Ja, hos flere tjenester trenger du ingen kode – du trykker bare på en «ja, det er meg»-knapp på telefonen når noen prøver å logge på. Hvis det er du som prøver å logge på, da.

Om dine brukerdetaljer skulle være med i den neste store datalekkasjen, vil det derfor være ganske godt å vite at ingen får logget på fra andre siden av jordkloden selv om de vet passordet ditt. For koden på telefonen din får de ikke tak i – i hvert fall ikke med mindre de klarer å lure den fra deg. Mer om det lenger ned.

En mengde tjenester støtter det

Denne artikkelen hadde blitt veldig lang om vi skulle beskrive fremgangsmåten på alle nettjenester, men vi har gjort det tidligere med Google og Facebook.

Her har du direktelenker for å komme i gang på de to: Google | Facebook

Nettstedet twofactorauth.org gjør en god jobb med å holde oversikten over internasjonale tjenester som støtter tofaktorautentisering, enten det dreier seg om sosiale medier, nettlagringstjenester, betalingstjenester eller hva det måtte være.

GOD OVERSIKT: Twofactorauth.org har gruppert nettjenester i kategorier og for hver av dem kan du sjekke hvilke tjenester som støtter tofaktorautentisering og ikke. Skjermbilde: Pål Joakim Pollen
GOD OVERSIKT: Twofactorauth.org har gruppert nettjenester i kategorier og for hver av dem kan du sjekke hvilke tjenester som støtter tofaktorautentisering og ikke. Skjermbilde: Pål Joakim Pollen Vis mer

Eksempler på tjenester som støttes: Facebook, Instagram, Linkedin, Pinterest, Reddit, Snapchat, Twitter, iCloud, Dropbox, OneDrive, Google, PayPal, Discord, Skype, Slack, Signal, Telegram, Whatsapp, en haug av Bitcoin-nettsteder, Gmail, Hotmail, Yahoo Mail, Twitch, YouTube, Steam, Xbox Live, PSN, de fleste passord-managere, Adobe, Firefox, IFTTT, Patreon, Kickstarter, eBay, Trello … listen er lang.

Som regel finner du denne muligheten ved å gå til sikkerhetsinnstillingene for tjenesten, enten på web eller i appen. Let etter tofaktor, two-factor eller lignende, så er du som regel godt på vei.

Kanskje kan det være ukas helgeprosjekt? Om du bruker flere slike løsninger, kan Authy anbefales, der du har alle kodegeneratorene dine på samme sted.

Men 100 prosent trygg er du ikke

De mest sofistikerte svindlerne på nettet kan også gjøre et forsøk på å få tak i engangskoden din.

Dette skjer som regel på følgende vis:

  1. Du får en phishing-epost med beskjed om å klikke på ei lenke for å rette opp noe, bekrefte mottakelse av en pakke eller hva det måtte være
  2. Du kommer så til en nettside identisk eller svært lik den du forventer å se, med beskjed om å logge på.
  3. Etter å ha tastet inn brukernavnet og passordet, sendes dette via svindlerne til den egentlige tjenesten. Dersom den så ber om sikkerhetskoden (fordi du har aktivert tofaktorautentisering), får du beskjed fra svindel-nettsiden om å oppgi denne koden. Her bør dog den røde lampa lyse hvis du vet at enheten du bruker allerede har blitt godkjent.
  4. Du oppgir koden, og vips, så er svindlerne logget inn som deg på andre siden.

Derfor vil ikke tofaktorautentisering beskytte deg 100 prosent, men det vil i det minste være ganske solid beskyttelse bare du passer på hvem du deler sikkerhetskoden med.

Og husk - sjekk alltid adressefeltet i nettleseren før du logger på et sted!