To-faktor-autentisering

Du har sikkert hørt flere ganger at du bør aktivere to-faktor-autentisering (eller to-trinns-bekreftelse som det også kalles). Med hva er det, og hvordan aktiverer man det?  Det skal vi forsøke svare på i denne artikkelen.

Image courtesy of Stuart Miles at FreeDigitalPhotos.net

Faktisk har du nok brukt to-faktor-autentisering allerede. BankID er det mest kjente eksemplet. For å logge inn kreves det to ulike ting. Det krevet noe du vet (altså passordet ditt) og noe du har (altså passordkalkulator eller mobiltelefon). Det er her navnet kommer fra, nemlig at det er to ulike faktorer som skal til, mot kun én (passord) ellers. Et annet kjent eksempel på to-faktor-autentisering er MinID som blant annet benyttes for å logge inn i AltInn. Her må du oppgi passord, samt en kode du får på SMS.

Hva er det godt for?

Hva er så hensikten med to-faktor-autentisering? Jo, svært mange blir frarøvet sitt passord. At man har et enkelt og gjettbart passord er en mulighet. Vanligere er at det man benytter samme passord flere steder, og av den grunn er det nok at ett av disse stedene røper det eller blir hacket for at passordet til “alt” er på avveie. Til slutt er det også vanlig å sette opp falske nettsider som forsøker frarøve deg brukernavnet og passordet. Dette er såkalt phishing. Ofte da ved at du først får en e-post med en link til nettsiden.

Les mer om passord: 10 Tips til gode passord

Siden det er nok at noen vet om passordet for å missbruke det, er du i trøbbel med en gang det blir avslørt. Derfor er to-faktor-autentisering et ekstra “lag” med sikkerhet som gjør at det ikke er full krise dersom noen får tak i din “hemmelighet”. De må nemlig da også få tak i noe du har, som ikke er like enkelt.

Det skal sies at den andre faktoren også kan være “noe du er”. Altså biometri slik som fingeravtrykk, iris, stemme, ansiktsform osv. Dette er imidlertid mye mer komplisert å gjennomføre. I dag er derfor stort sett alltid “noe du har” den andre faktoren i tillegg til “noe du vet”.

Vi kan sammenligne to-faktor-autentisering litt med en lås. En kode til en kodelås vil være “noe man vet”, en nøkkel til en nøkkellås vil være “noe man har”. Selv om man sjelden ser noe slikt, så er to-faktor-autentisering da en lås som både har kodehjul og et nøkkelhull. Begge må låses opp for å åpne låsen.

En kode kan andre se, eller prøve seg frem til, en nøkkel krever kopiering for å missbrukes. Også ulempene er de samme: En kode kan man glemme, en nøkkel kan man miste.

Hvilke ulemper gir det?

En av ulempene med å aktivisere to-faktor-autentisering er at innloggingen blir noe mer tungvindt. Vi må da finne frem mobilen eller passordkalkulatoren, og faktisk sørge for at vi har de med oss. Det blir også mye mer tungvindt å la andre kunne logge inn som oss, eller dele innlogging, men det skal man uansett ALDRI gjøre allikevel, så dette er ikke et reelt problem.

Det største problemet man bør være klar over er imidlertid at det kan bli problematisk om vi mister “det vi har” som skal benyttes for å logge inn. Det er jo besittelsen av dette som gir oss adgang. Et typisk eksempel er om vi ødelegger eller mister mobilen. Det kan også være at vi bytter mobil, og da må “flytte over” til den nye.  Det er derfor viktig at vi samtidig med at vi aktiverer to-faktor-autentisering også aktiverer en alternativ backup-løsning som de fleste tilbyr.

Er det helt sikkert?

Svaret er nei. Selv om vi har aktivert to-faktor-autentisering er vi ikke helt sikre. Noen kan faktisk lage falske nettsider som også får oss til å oppgi engangskoden samtidig med passordet (et eksempel her). Det er litt for omfattende å gå i detaljer her, men også BankID-mobil kan i teorien også svindles (mer om det i boka vi har skrevet). Vi bør derfor alltid være på vakt.

Fordelen med to-faktor-autentisering er at svindlerne kun kan opptre som oss på den ene tjenesten det gjelder, og kun én gang pr svindelforsøk (kodene er som regel unike og kun gyldig én gang)

Så selv om det ikke er helt sikkert må vi si at dette er så mye sikrere at alle bør aktivere det.

Hvor kan jeg bruke det?

De aller fleste store tjenestene tilbyr i dag to-faktor-autentisering, men vi må selv aktivere det. Dette gjelder f.eks. Google, Facebook, DropBox, PayPal osv.  Vi skal gi noen korte veiledninger til ulike tjenester i resten av denne artikkelen.  Det kommer flere veiledninger etter hvert.

Ønsker du å vite mer om to-faktor-autentisering, passord og innloggingssvindler, kan du lese om dette i boka vi har skrevet.

Hopp rett til guidene for:

Facebook
Google
Dropbox
(flere kommmer snart)

Facebook

1. Sørg for å være innlogget i Facebook og benytt en ordinær nettleser for å aktivere to-faktor-autentiseringen (mobil-appen har en annen fremgangsmåte, men aktiveringen gjelder for begge)
2. Gå til sikkerhetsinnstillingene
   
3. Velg Godkjenning av innlogging, og huk av for Be om en sikkerhetskode for å få tilgang til brukerkontoen min fra ukjente nettlesere
    
4. Du får nå en informasjonsboks. Trykk Kom i gang for å gå videre
   
5. Dersom du får spørsmål om type telefon kan det lønne seg å velge Annen. Da får du sikkerhetskoder på SMS i stedet for i en app, noe som er enklere. Spesielt om du bytter telefon.
6. Du kan nå bli spurt om å skrive inn telefonnummeret ditt, dersom det ikke er registrert i profilen fra tidligere.
7. Legg inn sikkerhetskoden du får på SMS som du skal skrive inn
   
   
8. Bekreft at du er deg med passordet til Facebook (det du bruker til vanlig)
   
9. Aktiveringen er nå gjort. Hver gang du nå logger inn på en ny enhet, vil du automatisk få en SMS med sikkerhetskode som skal benyttes under innloggingen. Vær veldig skeptisk om du plutselig får en slik kode på SMS uten at du selv har tatt initiativ til å logge inn.
   

Google

1. Sørg for å være innlogget i Googles tjenester og besøk google.com fra en ordinær nettleser.
2. Velg Konto-menyen øverst i høyre hjørne (ulik bokstav og farge avhengig av navnet ditt). Velg her Min konto
   
3. Velg så Signing in to Google
   
4. Velg 2-Step Verification
   
5. Angi passordet ditt for å bekrefte at du er deg
   
6. Sørg for at riktig telefonnummer (med landskode) er angitt, velg Text message og klikk TRY IT
   
7. Du mottar nå en SMS med en kode. Skriv inn denne koden i nettsiden
   
   
8. Dersom alt fungerer får du følgende melding. Velg TURN ON
   
9. Du får nå en bekreftelse på at to-faktor-autentisering er aktivert. Hver gang du nå logger inn på en ny enhet eler tjeneste, vil du automatisk få en SMS med sikkerhetskode som skal benyttes under innloggingen. Vær veldig skeptisk om du plutselig får en slik kode på SMS uten at du selv har tatt initiativ til å logge inn.
   
10. Merk deg at på samme nettside får flere valg når det gjelder to-faktor-autentisering. Bl.a. kan du hente ned engangskoder som kan printes og lagres på et trygt sted. Disse er kjekke å ha om to-faktor-autentiseringen av en eller annen grunn ikke lenger skulle være mulig (f.eks. mistet telefon).
    

Dropbox

1. Gå til innstillinger for din Dropbox-konto:
   
2. Velg fanen Security, og klikk på linken for å aktivere to-faktor-autentisering:
   
3. Trykk Get started:
   
4. Skriv inn passordet til Dropbox, for å bekrefte at du er deg:
   
5. Velg å benytte tekstmeldinger som autentiseringsmetode. Dette er enklere for de fleste:
   
6. Legg inn telefonnummeret du vil benytte:
   
7. Du får nå en verifikasjonskode på SMS. Legg inn denne på nettsiden:
   
8. Legg også inn et backup-nummer til noen du stoler på og kjenner. Dette så du kan få deaktivert to-faktor-autentisering dersom du mister telefonen eller sier opp nummeret:
   
9. Du får nå en bekreftelse på telefonnummer, samt en liste over engangskoder som kan benyttes dersom SMS ikke skulle være mulig. Ta vare på disse kodene på et trygt sted! Trykk så Enable two-step verification
   
10. Du får nå en bekreftelse om at to-faktor-autentisering er aktivert. Du vil også se dette under Security på innstillignene:
    
11. Hver gang du nå logger inn på en ny enhet eler tjeneste, vil du automatisk få en SMS med sikkerhetskode som skal benyttes under innloggingen. Vær veldig skeptisk om du plutselig får en slik kode på SMS uten at du selv har tatt initiativ til å logge inn.