Tvåfaktorsautentisering – Sätt till extra säkerhet

Ett bra lösenord, en bra start

Micke skrev en mycket bra artikel om hur man skapar bra lösenord. Det är mycket viktigt att man har bra lösenord. Det är nyckeln till din säkerhet.

Men nu är frågan: Räcker det med en enda nyckel och ett enda lås? Ifall du bodde på ett ställe som drabbas ofta av inbrott, skulle du då bara lita på en nyckel och ett lås till din ytterdörr? Nu bor du kanske på ett mycket säkert ställe där det inte sker inbrott. Det är bra, men det räcker inte långt när vi tänker på digitala tjänster. De digitala tjänster du använder finns på det globala Internet och där sker det massor med inbrott (dataintrång). Jag har sett siffror som ligger på 5 miljoner dataintrång per dag globalt på Internet, vilket är nästan 60 intrång per sekund. Så jo, Internet är ett ställe där det sker ”inbrott” väldigt ofta.

Hackare har automatiska robotar som är ute och letar på Internet och söker efter tjänster och konton att kapa. De har all tid i världen och kan gissa miljontals kombinationer av olika lösenord. Ett bra lösenord gör det svårare, men inte omöjligt för en hacker att komma på det. Dessutom kan ett lösenord läcka, tex. om du använt ett allmänt trådlöst nätverk som en hackare råkade avlyssna i den stund när du använde nätverket för att logga in och läsa din email eller göra en Facebook statusuppdatering. För att inte tala om risken för lösenordsfiske.

Dags att skaffa ett tjuvlås? Tvåfaktorsautentisering

Så nu visar det sig att du kanske vill ha ett tjuvlås på din dörr trots allt. I den digital världen är tjuvlåset något som kallas för tvåfaktorsautentisering. Namnet kommer från att man sätter till en ny andra faktor innan man godkänner inloggningen till en tjänst. Sedan räcker det inte längre med ett användarnamn och lösenord, utan nu krävs det också en detalj till. Om den här nya detaljen (den andra faktorn) dessutom är något fysiskt som man har med sig, så kan en hackare inte längre pröva sig fram eller använda avlyssning.

Också myndigheterna har tagit ställning till saken. Det finska kommunikationsverket gick i augusti 2017 ut med en rekommendation om att ta i bruk tvåfaktorsautentisering på digitala tjänster.

Tvåfaktorsautentisering kallas också ibland tvåstegsverifiering eller multifaktorautentisering. Metoden har olika namn i olika tjänster, men idén är den samma: Sätt till ett tjuvlås vid inloggningen, en extra faktor som krävs för att man skall komma in i systemet.

Tvåfaktorsautentisering – Hur fungerar det?

De traditionella sätten att göra tvåfaktorsautentisering på är:

  1. Användaren har en kodgenerator som genererar ett engångslösenord med hjälp av en digital nyckel och en matematisk algoritm / formel. Inloggningssystemet har samma nyckel och kan generera samma engångslösenord och på så sätt kontrollera att användaren har kodgeneratorn i sin besittning. I företags- och bankvärlden har fysiska kodgeneratorer använts. De är små elektroniska apparater som genererar användarspecifika engångslösenord.
  2. Användaren har en telefon som kan ta emot ett slumpmässigt engångslösenord från inloggningssystemet via ett textmeddelande när hon / han gör en inloggning. På så sätt kan användaren bevisa att hon / han har det givna telefonnumret i sin besittning.
  3. Användaren har en tabell med koder / engångslösenord som används i tur och ordning när man skall logga in. Inloggningssystemet har tillgång till samma tabell. På så sätt kan användaren bevisa att hon / han har den givna tabellen i sin besittning.

När användaren nu loggar in, måste hon / han mata in det aktuella engångslösenordet för att ytterligare verifiera sig vid inloggning, förutom användarnamn och lösenord. Engångslösenordet eller koden används bara en enda gång. Vid nästa inloggning är det ett nytt engångslösenord som gäller. Engångslösenordet kallas ibland för OTP, som är en förkortning från den engelska benämningen One Time Password.

Tvåfaktorsautentiseringen förkortas ibland som 2FA. Det kommer från engelskans twofactor authentication, men förkortningen fungerar ju också bra med svenskans tvåfaktorsautentisering.

Ifall du har använt en nätbank är du antagligen redan bekant med tvåfaktorsautentisering. Bankerna har redan länge skickat tabeller med bankkoder / engångslösenkoder till sina användare. På så sätt kan användaren verifiera sin inloggning till de nätbankstjänster bankerna erbjuder. För att betala med ett betal-, bank- eller kreditkort krävs också tvåfaktorsautentisering. Du måste ha kortet i din besittning och dessutom känna till kortets PIN-kod, för att betalningen skall godkännas.

I dagens läge börjar det också dyka upp nyare metoder:

  • Dagens smarttelefoner erbjuder biometriska metoder för användaren att bevisa sin identitet såsom fingeravtrycksavläsare, irisskanner och igenkänning av användarens ansikte. Dessa används i främsta hand för att låsa upp själva smarttelefonen, men kan i princip också fungera som en andra eller tom. tredje faktor vid en inloggning. Ett problem med biometriska metoder är att ifall någon lyckas kopiera ditt fingeravtryck, din iris eller ditt ansikte så kan den lura systemet att den är du. Användaren kan inte byta fingeravtryck eller ansikte om någon lyckas kopiera det.
  • De fysiska kodgeneratorerna håller nu också på att ersättas av appar i smarttelefonerna.
  • Smarttelefon appar har börjat använda datatrafik för att leverera engångslösenorden istället för textmeddelanden. En sådan app kan också låta användaren godkänna en inloggning via en prompt i smarttelefonen och då behöver användaren inte längre knappa in engångslösenordet.
  • Bankerna börjar också ersätta sina kodtabeller med appar för smarttelefoner.

Tvåfaktorsautentisering – Hur kan jag använda det?

Alla de vanligaste tjänsterna börjar i dagens läge ha tvåfaktorsautentisering. Tjänster såsom Facebook, ditt Apple-ID, ditt Google konto, ditt Instagram konto, ditt Snapchat konto, ditt Microsoft / OneDrive konto och ditt Dropbox konto har alla möjlighet att koppla på tvåfaktorsautentisering. Som användare av dessa tjänster kostar det dig ingenting extra och jag rekommenderar starkt att du kopplar på tvåfaktorsautentisering för att öka säkerheten på dina konton. Inställningar för tvåfaktorsautentiseringen finns oftast under den specifika tjänstens inställningar i samband med kontoinställningarna eller säkerhets/login inställningarna.

I de flesta tjänster finns begreppet betrodda enheter och du behöver inte logga in om du använder en tjänst där du redan är inloggad. Det är likadant med tvåfaktorsautentisering. Den kommer bara med i bilden vid en ny inloggning.

Ett exempel på tvåfaktorsautentisering med textmeddelande i Facebook

Det enklaste sättet att komma igång med tvåfaktorsautentisering är att använda textmeddelande för att leverera ett engångslösenord. När du sedan gör en ny inloggning kommer du att få en extra inloggningsfråga, efter att du har matat in korrekt användarnamn och lösenord. I Facebook ser det ut så här, när man gör den extra verifieringen:

Du kommer också då att få ett sms i stil med:

Mata sedan in koden du fått per textmeddelande i dialogen för tvåfaktorsautentisering. Om koden är rätt godkänns den nya inloggningen.

För att tvåfaktorsautentiseringen skall fungera med textmeddelande, så måste du först ange ditt telefonnummer, så att tjänsten (i det här fallet Facebook) vet vart den skall skicka textmeddelandet. Det gör man också på inställningarna i tjänsten. Det är bra att tjänsten vet ditt telefonnummer, ifall du någon gång skulle bli utelåst från tjänsten.

Ett exempel på tvåfaktorsautentisering med app i Googles tjänster

Om du gör motsvarande ny inloggning till Googles tjänster med tvåfaktorsautentiseringen påkopplad och dessutom har en Android telefon kopplad till samma konto får du följande fråga, efter att ha matat in användarnamn och lösenord:

I din Android telefonen dyker det då upp följande dialog:

Om du svara Ja accepteras inloggningen.

Det här är ett exempel på ett app baserat system för tvåfaktorsautentisering och här behöver du inte mata in något engångslösenord. Behändigt.

Gör upp en plan B om du förlorar din telefon eller kodgenerator

Tvåfaktorsautentisering erbjuder extra säkerhet, men man måste också tänka på vad som händer om man tappar / blir bestulen på sin andra faktor, dvs. telefonen eller kodgeneratorn. Olika system erbjuder möjligheter att skapa alternativa sätt att logga in på, för dessa situationer. Man kan tex. använda telefonen hos någon betrodd person som alternativ för den andra faktorn eller så kan man skriva ut reservengångslösenkoder som man sparar på något säkert ställe.

Företagslösningar

Det finns också diverse företagslösningar som kan kopplas på för att skydda företagens inloggningssystems med en extra faktor. Tidigare var största delen av företagens datorer skyddade inne i företagets egna nätverk, men i dagens läge jobbar folk med olika apparater (laptop, surfplatta eller smarttelefon) hemifrån och på allmänna ställen såsom kaféer, flygplatser, bibliotek och liknande. Företagens IT-avdelningar kan inte längre till 100% skydda dessa apparater från externa attacker.

Själv jobbar jag för Titansoft Oy som är ett finskt dotterbolag till svenska Mideye Ab. Vårt system har utvecklats för att vara enkelt att användare både för slutanvändaren och IT-administratören. Vi hjälper företagen att säkra deras system. Vi är en lokal aktör här i Norden och med oss får man prata både svenska och finska. Tag gärna kontakt ifall en företagslösning intresserar, så kommer vi över och berättar och ordnar en demonstration åt er.

Så här ser vår smarttelefon app Mideye+ ut:

Så vad gör jag nu?

Här är ett kort sammandrag:

  • Sätt på tvåfaktorsautentiseringen i de internettjänster du använder, om dessa stöder tvåfaktorsautentisering.
  • Ha en plan för vad du gör om du förlorar din andra faktor.
  • Det finns också företagslösningar för att skydda företagens inloggningar. Vi hjälper gärna vid behov.

Jag önskar dig en trevlig vår med säkra inloggningar!

Författare: Jan Sandbacka

Jan Sandbacka, även kallad MrAuthentication i vissa sammanhang, har jobbat länge med datasäkerhet. Först jobbade han på Fujitsu Retail med kassasystem, sedan med kryptering och anti-virus på F-Secure, skötte rollen som IT-chef på startupföretaget Supponor och flyttade sedan över till SSH för att jobba med hantering av SSH nycklar. På SSH tog han också över den MobileID affärsenhet som sedan gjorde spin-off till företaget Titansoft Oy. Idag ägs Titansoft av svenska Mideye AB och Jan hjälper företagskunder att säkra sina IT-system med hjälp av Mideye-Titansofts två-faktor authentiseringslösningar. Jan är passionerad över att jobba med datasäkerhet och tror att brister i datasäkerheten är det största hotet mot digitaliseringen. Jan tycker att säkerhetslösningar måste vara lätta att använda, annars används de inte.