Tofaktorautentisering (2FA) – Hva det er og hvordan du konfigurerer det

Det går ikke en dag uten at du bekymrer deg for sikkerheten din på internett. Den metoden du kjenner for å holde informasjonen din trygg på nettet, er å endre passordet ditt regelmessig. Passord alene gir deg imidlertid ikke tilstrekkelig sikkerhet, da de nå enkelt plukkes opp av svindlere ved hjelp av phishing eller brute force. Med de fortsatte rapportene om millioner av stjålne brukerdata hvert år, bør du nå innse at passord alene ikke er nok til å beskytte dataene dine. Det du trenger er tofaktorautentisering, noen ganger kalt 2FA eller tofaktors verifisering eller autentisering.

Dette nye sikkerhetsnivået er imidlertid ikke ordentlig forstått av den gjennomsnittlige brukeren som deg. Så hvorfor ikke ta deg en pause og la oss ta en enkel, men detaljert gjennomgang av hva 2FA er? La oss ta det fra begynnelsen.

Hva er autentiseringsfaktorer?

Det er mer enn bare én måte du kan autentiseres på ved å bruke mer enn én autentiseringsmetode. For øyeblikket er autentiseringsmetoder mest basert på kunnskapsfaktorer og en ekstra faktor for tofaktorautentiseringsmetodene. Nedenfor er noen av autentiseringsfaktorene i bruk:

1. Kunnskapsfaktor – dette er noe brukeren kjenner til. Det kan være et passord, PIN-kode (personlig identifikasjonsnummer) eller delt data.
2. Besittelsesfaktor – dette er for det meste noe brukeren eier, en mobiltelefon, en mobil enhet/smarttelefonapp, en sikkerhetstoken eller et ID-kort. Det brukes til å godkjenne autentiseringsforespørsler.
3. Innebygd faktor – dette kalles også en biometrisk faktor. Det er vanligvis noe personlig for brukeren, et eksempel er fingeravtrykk, ansiktsgjenkjenning, stemmegjenkjenning. Atferdsmetrikker, som talemønstre, tastetrykkdynamikk og gange, er også innebygde faktorer.
4. Lokasjonsfaktor – dette forklares enkelt med navnet. Denne faktoren er avhengig av lokasjonen der et autentiseringsforsøk blir utført. Autentisering ved bruk av denne faktoren bruker begrensninger til spesifikke lokasjoner, spesifikke enheter, sporing av autentiseringsforsøkets kilde ved hjelp av IP-adresse og/eller GPS.
5. Tidsfaktor – autentisering med denne faktoren begrenser brukeren til et spesifikt tidsvindu. Utenfor dette vinduet gis ingen bruker tilgang til systemet.

Tofaktorautentiseringsmetoder bruker de tre første autentiseringsfaktorene, mens systemer som krever større sikkerhet implementerer flerfaktorautentisering, ved å bruke mer enn to uavhengige faktorer for sikker autentisering.

Hva er flerfaktorautentisering?

Selv om tofaktorautentisering vil gi deg ekstra sikkerhet som vil gjøre det vanskelig for angripere å få tilgang til et system ment for deg, klarer de noen ganger å få denne tilgangen. For systemer som krever høyere sikkerhet, vil en flerfaktorautentiseringsmetode være egnet for å gi ekstra sikkerhet.

En flerfaktorautentiseringsmetode (MFA) kan inkludere en trefaktorautentiseringsmetode (3FA) eller mer. Du vil vanligvis trenge en besittelsesfaktor, kunnskapsfaktor, innebygd faktor og lokasjonsfaktor.

Hva er tofaktorautentisering?

Tofaktorautentisering, også kjent som 2FA, er en type flerfaktorautentisering. Brukere bekrefter identiteten sin og får tilgang til et system når to forskjellige autentiseringsfaktorer kombineres. Når du bruker minibanken, trenger du for eksempel kortet ditt, en besittelsesfaktor, og PIN-koden din, en kunnskapsfaktor, før du kan gjøre et uttak. De fleste systemer som bruker tofaktorautentisering har alltid kunnskapsfaktoren (PIN eller passord) som første trinn i autentiseringen. En annen faktor kan være besittelses-, innebygd- eller lokasjonsfaktoren.

Hvorfor trenger du 2FA?

Om ikke annet, må du ha tenkt: «Hvorfor alt dette oppstyret om et ekstra beskyttelseslag? Jeg har sterke passord for alle kontoene mine. Jeg trenger ingen ekstra sikkerhet for kontoene mine.» På en måte har du rett i å si at du har sterke passord for kontoene dine, men nylig har det vært en økning i antall nettsteder som mister brukerdataene sine. Selskaper som stagnerer og fortsetter å bruke sine utdaterte sikkerhetssystemer kan ikke stå imot de moderne truslene og angrepene som utføres av hackere. Mens effekten av cyberkriminalitet på bedrifter, nettsteder, ideelle organisasjoner og lignende kan være svimlende, lider også brukere av disse angrepene. Legitimasjon stjålet under disse angrepene brukes til å skaffe falske kredittkort som skader offerets kredittvurdering. Ifølge en studie fra 2016 ble over 16 milliarder dollar stjålet fra over 15 millioner amerikanske forbrukere, og de siste seks årene har over 105 milliarder dollar blitt stjålet av identitetstyver. Dette beviser at nettsteder og bedrifter må tilby bedre sikkerhet til brukerne sine.

Fra brukernes side har de gradvis gjort passord til en mindre pålitelig autentiseringsmetode. Det er sant at det er bedre å ha et passord enn ingen beskyttelse, men passord er ikke idiotsikre.

• Dårlig hukommelse: en rapport om studien av 1,4 milliarder stjålne passord viste at en stor prosentandel av dem var for enkle, med passord som «123456», «111111», «123456789», «passord» og «qwerty» som de mest populære. Det er sant at det er lett å huske disse passordene, men det ville heller ikke ta en anstendig hacker hele dagen å knekke denne typen passord.
• Utmattelse: mens noen brukere kontinuerlig oppretter svake passord, forstår noen brukere hvorfor et komplekst passord er best for å beskytte kontoene sine. Men over tid blir disse forbrukerne mindre motiverte når de stadig ser hvordan brukerinformasjon lett lekker ut på det mørke nettet. De ender opp med å velge svakere passord.
• Flere kontoer: med nesten alt tilgjengelig på nett, blir du bedt om å opprette flere kontoer på nett. Med hver nye konto du oppretter, forventes det at du har et nytt komplekst passord. Men er dette mulig på noen måte? Å måtte opprette for mange passord fører deg snart inn i tanken om «passordgjenvinning». Hackere blir veldig glade i det øyeblikket du gjør dette, hvorfor? Bare noen få sekunder med testing av stjålne påloggingsdetaljer, og de vil ha tilgang til en av kontoene dine. Når de har oppnådd dette, trenger de bare å prøve de samme detaljene på andre kontoer du måtte eie. Hvis du har falt i vanen med passordgjenvinning, noe du nesten helt sikkert har gjort, kan hackerne også få tilgang til disse kontoene.

Nå som du har sett hvor sårbar du er for hackere når du utelukkende stoler på passord for å beskytte kontoene dine, vet du at tofaktorautentisering for å gi mer sikkerhet til kontoen din er det minste du kan gjøre. La oss si at passordet ditt på en eller annen måte blir stjålet. Hvis du har satt opp 2FA for kontoen din, vil en hacker fortsatt trenge tilgang til din tofaktors informasjon før de kan få tilgang til kontoen din.

Typer 2FA

Det er flere tofaktorautentiseringer i bruk i dag, selv om de er sterkere og mer komplekse enn hverandre, gir de alle bedre beskyttelse enn bare passord.

SMS- og stemmebasert tofaktorautentisering

Oftest involverer tofaktorautentisering mobiltelefonen din, noe som er et passende alternativ til å bære med seg en annen fysisk enhet bare for autentiseringens skyld. Du kan bruke koden din til å få tilgang til enheten din, deretter sendes et engangspassord (OTP) til telefonen din. Det består vanligvis av 4 til 6 sifre som sendes til deg som en SMS. I likhet med SMS ringer stemmebasert 2FA deg og dikterer OTP-en din.

Innen 2018 ble SMS den mest brukte flerfaktorautentiseringsmetoden for forbrukerkontoer. Imidlertid har sikkerhetseksperter kritisert bruken av SMS- og stemmebasert 2FA som en usikker MFA-modus da den enkelt kan manipuleres ved hjelp av avlytting eller SIM-kloning.

Så for kontoene og nettstedene dine som inneholder personlig informasjon, bør du ikke stole på SMS eller stemmebasert 2FA for maksimal sikkerhet.

Maskinvaretokens

De er vanligvis en liten nøkkelringlignende enhet, og sannsynligvis den eldste formen for 2FA. Maskinvaretokens kan enten være tilkoblet eller frakoblet. Frakoblede maskinvaretokens genererer en ny numerisk kode hvert 30. sekund og viser den på en innebygd skjerm. Du forventes å taste inn denne koden når du vil få tilgang til kontoen din. Tilkoblede maskinvaretokens krever imidlertid bare at du plugger tokenet inn i datamaskinen du skal bruke. Koden overføres automatisk til systemet.

Selv om denne metoden for flerfaktorautentisering er sikrere, er den ikke helt trygg fra å bli hacket. Du kan også lett miste den på grunn av dens lille størrelse. Bedrifter synes det også er dyrt å produsere disse tokenene.

Programvaretokens

I nyere tid har programvaretokens blitt den mest populære måten å utføre tofaktorautentisering på, og et foretrukket alternativ til SMS- og stemmebasert 2FA. Du må laste ned og installere en 2FA-app på smarttelefonen eller PC-en din. Når du logger på et nettsted som støtter denne spesifikke typen autentisering og du taster inn brukernavn og passord, genereres et soft-token eller tidsbasert engangskode (TOTP) og sendes til 2FA-appen, og du blir bedt om å oppgi den.

Programvaretoken har blitt den mest brukte formen for tofaktorautentisering fordi koden genereres og brukes på samme enhet, noe som reduserer muligheten for avlytting av hackere, noe som er en stor bekymring ved bruk av SMS- og stemmebasert 2FA.

Push-varsling

Et annet alternativ som de fleste nettsteder og apper velger, er å sende brukerne en push-varsling som informerer dem om et autentiseringsforsøk. Denne push-varslingen sendes til enhver enhet du har registrert som sikker, og du forventes enten å godkjenne eller avvise dette autentiseringsforsøket etter å ha gjennomgått detaljene. Du trenger ikke å taste inn noe passord, og du skal heller ikke oppgi en kode.

Push-varsling eliminerer ytterligere risikoen for mellommannsangrep, phishing og uautorisert tilgang. Selv om det er den sikreste typen 2FA for forbrukerbasert autentisering, krever push-varsling en internettilkobling og en smarttelefon som installerer apper.

Biometri

Ikke lett tilgjengelig for publikum, biometrisk 2FA anser brukeren for å være tokenet. Verifisering av en persons identitet ved hjelp av fingeravtrykk, ansiktsgjenkjenning og netthinnemønstre er allerede i bruk for biometrisk 2FA. Imidlertid er tastetrykkmønstre, stemmeprinter, omgivelsesstøy og puls blant formene som studeres for å bli brukt i fremtiden for flerfaktorautentisering.

Tjenester med 2FA

Nedenfor diskuterer vi noen av de populære tjenestene som har 2FA-funksjonalitet i et forsøk på at du skal være tryggere på så mange apper og nettsteder som mulig.

Google 2-trinns bekreftelse

Google forstår at du har nesten hele livet ditt på Google, og det er derfor de begynte å jobbe med et 2FA-system i 2010, som de kaller 2-trinns bekreftelse. Hvis 2-trinns bekreftelse er aktivert for Google-kontoen din, kan du bruke Google Prompt. Alt du trenger å gjøre er å sørge for at Google Søk-appen er på telefonen din. Hver gang du logger på Google-kontoen din på en enhet, vil du motta et push-varsel, og alt du trenger å gjøre er å trykke for å godkjenne påloggingen.

Du kan også bruke Google Authenticator-appen til å generere en bekreftelseskode, spesielt når smarttelefonen ikke er koblet til internett. Du må imidlertid tidligere ha registrert deg for 2-trinns bekreftelse for å kunne bruke den. En QR-kode genereres på skrivebordsskjermen din som du må skanne. Deretter får du en tidsbasert eller tellerbasert kode du må taste inn. 

Du kan også velge et telefonnummer der du kan motta koder eller få 10 ubrukte koder som du kan skrive ned et sted for nødsituasjoner. Besøk din Google-kontosikkerhetsinnstillinger for å få dette gjort.

Facebook tofaktorautentisering

Gå til Sikkerhet og logg inn under Innstillinger når du logger inn på Facebook på skrivebordet. Du vil se alternativet for tofaktorautentisering, klikk Rediger, og velg din andre autentiseringsform. Du bør velge å bruke en autentiseringsapp. Facebook vil generere en QR-kode på skrivebordsskjermen din, og du skanner koden med autentiseringsappen på smarttelefonen din. Når du logger på Facebook og blir bedt om din sekssifrede kode, starter du autentiseringsappen og henter koden derfra. Akkurat som Google kan du også få en liste over 10 gjenopprettingskoder som kan brukes i en nødsituasjon når du ikke har telefonen din med deg. Sørg bare for å oppbevare dem på et trygt sted.

Instagram tofaktorautentisering

Gå til profilen din, øverst i høyre hjørne, trykk på hamburgermenyen. Gå til Innstillinger > Personvern og sikkerhet > Tofaktorautentisering, og velg hvor du vil at autentiseringen skal sendes. Du kan enten slå på Tekstmelding eller slå på Autentiseringsapp. Du vil bli veiledet om hvordan du setter opp ting. Du får også en liste med fem gjenopprettingskoder som kan brukes i fremtiden når du prøver å logge inn fra andre enheter.

WhatsApp totrinnsbekreftelse

I tillegg til ende-til-ende-kryptering har WhatsApp også totrinnsbekreftelse for å beskytte brukerne ytterligere mot snoking og hacking. Bare gå til Innstillinger, under Konto kan du trykke Aktiver for å aktivere totrinnsbekreftelse. Du må opprette en sekssifret PIN-kode og oppgi en e-postadresse i tilfelle du trenger å slå av bekreftelsen. Hver gang du logger av eller logger på WhatsApp med en annen enhet, må du skrive inn PIN-koden din på nytt.

Twitter innloggingsbekreftelse

På datamaskinen din klikker du på profilbildet ditt, og klikker deretter på Innstillinger og personvern fra nedtrekkslisten. Klikk på Konfigurer innloggingsbekreftelse, deretter skriver du inn Twitter-passordet ditt og kobler et telefonnummer til kontoen din hvis det ikke allerede er koblet til. På mobilappen trykker du på profilbildet ditt, går til Innstillinger og personvern, under Sikkerhet i Konto-menyen kan du slå Innloggingsbekreftelse på eller av.

Du kan også få en liste over koder som kan brukes i en nødsituasjon eller når du ikke har tilgang til enheten din.

Apple tofaktorautentisering

For iOS- og Mac-brukere kan tilgangen til iCloud, iTunes, App Store, Apple Bøker og Apple Music sikres med 2FA. Logg på Min Apple ID-side. Gå til Sikkerhet > Tofaktorautentisering, klikk Kom i gang. Du vil bli veiledet gjennom de nødvendige trinnene for å konfigurere tofaktorautentisering for Apple-enheten(e) dine. Hvis du bruker iOS, går du til Innstillinger > Ditt navn > Passord og sikkerhet > Slå på tofaktorautentisering.

For å fullføre oppsettet må du svare på to av de tre sikkerhetsspørsmålene dine, bekrefte kredittkortinformasjon på nytt og oppgi et gyldig telefonnummer. Hvis telefonnummeret er på samme telefon, blir koden automatisk lagt inn når du mottar den.

I likhet med andre plattformer kan du få en kode for å logge inn når du trenger det. På iOS-enheten din går du til iCloud-innstillinger > Trykk på brukernavnet ditt > skriv inn Apple ID-passord > Passord og sikkerhet > Få bekreftelseskode.

Mange andre plattformer tilbyr totrinnsautentisering, for eksempel Microsoft totrinnsbekreftelse, Amazon totrinnsbekreftelse, Yahoo Kontonøkkel, Reddit tofaktorautentisering, Slack tofaktorautentisering, Dropbox totrinnsbekreftelse, PayPal totrinnsbekreftelse, Wordpress totrinnsautentisering, Fortnite tofaktorautentisering blant mange andre.

Blant de viktigste årsakene til sikkerhetsbrudd er stjålne, gjenbrukte og svake passord, og siden passord har forblitt den viktigste måten selskaper sikrer sine brukere og deres informasjon, er det viktig for deg som bruker å unngå å lagre viktig informasjon på apper og nettsteder som ikke gir et ekstra sikkerhetslag i form av tofaktorautentisering eller andre former for multifaktorautentisering.