Skip to main content

De ulike formene for tofaktorautentisering: SMS, Autenticator Apps, og mer

De ulike formene for tofaktorautentisering: SMS, Autenticator Apps, og mer

Geoffrey Carr

Mange onlinetjenester tilbyr tofaktorautentisering, noe som øker sikkerheten ved å kreve mer enn bare passordet ditt for å logge på. Det finnes mange forskjellige typer tilleggsautentiseringsmetoder du kan bruke.

Ulike tjenester tilbyr forskjellige tofaktorautentiseringsmetoder, og i enkelte tilfeller kan du selv velge mellom noen få forskjellige alternativer. Slik fungerer de og hvordan de er forskjellige.

SMS-verifisering

Mange tjenester gir deg mulighet til å registrere deg for å motta en SMSmelding når du logger deg på kontoen din. At SMS-meldingen vil inneholde en kort engangskode du må skrive inn. Med dette systemet brukes mobiltelefonen som den andre godkjenningsmetoden. Noen kan ikke bare komme inn på kontoen din hvis de har passordet ditt - de trenger passordet ditt og tilgang til telefonen eller SMS-meldingene.

Dette er praktisk, siden du ikke trenger å gjøre noe spesielt, og de fleste har mobiltelefoner. Noen tjenester vil til og med ringe et telefonnummer og få et automatisk system til å snakke en kode, slik at du kan bruke dette med et fast telefonnummer som ikke kan motta tekstmeldinger.

Det er imidlertid store problemer med SMS-verifisering. Angrepere kan bruke SIM swap-angrep for å få tilgang til dine sikre koder eller fange dem takket være feil i mobilnettverket. Vi anbefaler at du ikke bruker SMS-meldinger, hvis det er mulig. Men SMS-meldinger er fortsatt mye sikrere enn å ikke bruke to-faktor-autentisering i det hele tatt!

App-genererte koder (som Google Authenticator og Authy)

Du kan også få kodene dine generert av en app på telefonen din. Den mest kjente appen som gjør dette, er Google Authenticator, som Google tilbyr for Android og iPhone. Vi foretrekker imidlertid Authy, som gjør alt Google Authenticator - og mer. Til tross for navnet bruker disse appene en åpen standard. For eksempel er det mulig å legge til Microsoft-kontoer og mange andre typer kontoer til Google Authenticator-appen.

Installer appen, skann koden når du konfigurerer en ny konto, og den appen genererer nye koder omtrent hvert 30. sekund. Du må legge inn gjeldende kode som vises i appen på telefonen, samt passordet ditt når du logger deg på en konto.

Dette krever ikke et mobilsignal i det hele tatt, og "frøet" som tillater appen å generere de tidsbegrensede kodene, lagres bare på enheten. Det betyr at det er mye sikrere, for selv om noen som får tilgang til telefonnummeret ditt eller avlyser tekstmeldingene, vet de ikke kodene dine.

Noen tjenester, for eksempel Blizzards Battle.net Authenticator, har også egne dedikert kodegenererende apps.

Fysisk godkjenningstaster

Fysiske autentiseringstaster er et annet alternativ som begynner å bli mer populært. Store selskaper fra teknologi- og finanssektoren lager en standard kjent som U2F, og det er allerede mulig å bruke et fysisk U2F-token for å sikre Google, Dropbox og GitHub-kontoer. Dette er bare en liten USB-nøkkel du legger på nøkkelringen. Når du vil logge deg på kontoen din fra en ny datamaskin, må du sette inn USB-nøkkelen og trykke en knapp på den. Det er det-nei skrive koder. I fremtiden skal disse enhetene arbeide med NFC og Bluetooth for kommunikasjon med mobile enheter uten USB-porter.

Denne løsningen virker bedre enn SMS-verifisering og engangskoder fordi den ikke kan skilles og knuses. Det er også enklere og mer praktisk å bruke. For eksempel kan et phishing-nettsted vise deg en falsk Google-påloggingsside og fange din engangsbrukskode når du prøver å logge inn. De kan da bruke koden for å logge på Google. Men med en fysisk godkjenningsnøkkel som fungerer sammen med nettleseren din, kan nettleseren sikre at den kommuniserer med den virkelige nettsiden, og koden kan ikke fanges av en angriper.

Forvente å se mye mer av disse i fremtiden.

Appbasert godkjenning

Noen mobilapper kan gi tofaktorautentisering ved hjelp av selve appen. For eksempel tilbyr Google nå en kodefri tofaktorautentisering så lenge du har Google-appen installert på telefonen din. Når du prøver å logge på Google fra en annen datamaskin eller enhet, trenger du bare å trykke på en knapp på telefonen, ingen kode nødvendig. Google kontrollerer at du har tilgang til telefonen din før du prøver å logge på.

Apples to-trinns bekreftelse fungerer på samme måte, selv om det ikke bruker en app-det bruker selve iOS-operativsystemet. Når du prøver å logge inn fra en ny enhet, kan du motta en engangskode som sendes til en registrert enhet, som iPhone eller iPad. Twitters mobilapp har en lignende funksjon som kalles innloggingsbekreftelse også. Og Google og Microsoft har lagt til denne funksjonen til Google Apps og Microsoft Authenticator-smarttelefonappene.

E-postbaserte systemer

Andre tjenester stole på e-postkontoen din for å godkjenne deg. Hvis du for eksempel aktiverer Steam Guard, vil Steam be deg om å legge inn en engangskode som sendes til din e-post hver gang du logger inn fra en ny datamaskin. Dette sikrer i det minste at en angriper trenger både ditt Steam-kontopassord og tilgang til din e-postkonto for å få tilgang til den kontoen.

Dette er ikke så sikkert som andre to-trinns bekreftelsesmetoder, da det kan være enkelt for noen å få tilgang til e-postkontoen din, spesielt hvis du ikke bruker to-trinns bekreftelse på det! Unngå e-postbasert verifisering hvis du kan bruke noe sterkere. (Heldigvis tilbyr Steam app-basert godkjenning på mobilappen sin.)

Det siste feriestedet: gjenopprettingskoder

Gjenopprettingskoder gir et sikkerhetsnett hvis du mister tofaktorsautentiseringsmetoden. Når du konfigurerer tofaktorautentisering, får du vanligvis tilbakekodekoder du bør skrive ned og lagre et sikkert sted. Du trenger dem hvis du noen gang mister din to-trinns verifikasjonsmetode.

Pass på at du har en kopi av utvinningskodene dine et sted hvis du bruker to-trinns autentisering.


Du finner ikke dette mange alternativer for hver av kontoene dine. Imidlertid tilbyr mange tjenester flere to-trinns bekreftelsesmetoder du kan velge fra.

Det er også muligheten til å bruke flere tofaktors autentiseringsmetoder. Hvis du for eksempel konfigurerer både en kodeopprettende app og en fysisk sikkerhetsnøkkel, kan du få tilgang til kontoen din via appen hvis du noen gang mister den fysiske nøkkelen.

Link
Plus
Send
Send
Pin