Tvåstegsverifiering eller tvåfaktorverifiering är ett sätt att öka säkerheten på konton online och offline. Istället för att till exempel skydda ett konto med ett lösenord kan tvåfaktorverifiering också använda sig av ett annat system för att ha ett skydd när lösenordet till exempel läcker. Tvåfaktorverifiering (tvåfaktorsautentisering) kan dock vara lite krångligt. Vi har ett tips som gör det lite lättare.
SMS är inte bra nog
Det finns många olika typer av tvåfaktorverifiering. En vanlig typ som brukar gå under namnet ”tvåstegsverifiering” är SMS-meddelanden. Skillnaden mellan ”tvåfaktor…” och ”tvåsteg…” beror på att den andra typen av verifiering lägger till ett steg i processen utan att nödvändigtvis öka säkerheten så mycket som en helt ny säkerhets-”faktor” skulle kunna göra. I likhet med lösenord anses till exempel SMS vara en ganska dålig variant av en sekundär faktor eftersom telenäten har stora och vitt kända säkerhetsbrister. En sekundär faktor skiljer sig dock helt från lösenord och kräver till exempel tillgång till en specifik enhet.
Många lösningar för tvåfaktorsverifiering använder sig av sexsiffriga engångskoder för att utöka sin säkerhet. Engångskoderna installeras på till exempel en smartphone och genererar en engångskod som är giltig i 30 sekunder. Denna kod måste skrivas in tillsammans med lösenordet första gången ett konto loggas in på en ny enhet. Eftersom engångskoden bara kan genereras av en telefon som har tagit del av en hemlighet, behöver en hackare ha tillgång till både användarens lösenord och dess fysiska smartphone. Det förhindrar attacker som kan göras på avstånd.
Problemet med tvåfaktorverifiering
Det finns flera problem med tvåfaktorsverifiering. Ett problem är givetvis att det är lite krångligt att använda. Så är det dock visserligen med alla typer av säkerhetsåtgärder. Ett särskilt problem med tekniken är att den är krångliga att flytta. Eftersom kodgeneratorn är tänkt att finnas på bara en eller ett fåtal enheter är hemligheten inte tänkt att kunna spridas. Det gör det dock särskilt krångligt att flytta kodgeneratorn.
Det finns flera lösningar på det problemet. Det går till exempel att spara de QR-koder som används för att skapa koderna. Ett annat sätt är att använda en app som kan spara och synkronisera koderna. Det finns flera bra alternativ så som LastPass Authenticator men vi föredrar Authy.
Med Authy kan du lägga in dina konton i appen för att använda den som en kodgenerator. Du kan skydda appen med en PIN-kod och kryptera alla koder med ett lösenord. Lösenordet skyddar koderna som lagras på Authys servrar. När du skaffar en ny smartphone räcker det att installera Authy-appen, aktivera kontot med ett SMS och ange lösenordet för att ladda ner och låsa upp alla koder till den nya enheten.
Inte utan nackdelar
Authy har en uppenbar nackdel framför appar så som Google Authenticator, som lagrar alla koder på enheten lokalt och inte tillåter export. Eftersom Authy lagrar dina hemligheter i molnet uppstår ett säkerhetsproblem som inte finns med Google Authenticator. Det gör samtidigt det betydligt enklare att använda engångskoder. Om det betyder att det gör det tillräckligt smidigt för att du ska använda tvåfaktorverifiering ökar det din säkerhet betydligt.
För att använda Authy laddar du ner appen från App Store eller Google Play. Du aktiverar ett konto genom att fylla i ditt telefonnummer och lägger till konton och skyddar dem med ett lösenord. Du kan lägga till en PIN-kod i efterhand eller ta bort åtkomst från en telefon i efterhand från inställningarna. Där kan du dessutom stänga av möjligheten att aktivera nya enheter framöver. Den inställningen kan aktiveras igen när du till exempel skaffar en ny mobil. Det förutsätter dock att någon av de tidigare aktiverade enheterna fortfarande fungerar. Du har i alla fall möjlighet att säkerhetskopiera dina koder i molnet för att göra flytten till en mobil lite enklare.
Länkar: Authy (App Store), (Google Play)
På Surfa.se jobbar vi utifrån konsumentjournalistiska principer för att ta reda på sanningen. Vi skriver utförliga artiklar och tester och tummar inte på kvalitet eller opartiskhet. Läs mer om hur vi jobbar för god journalistik här.
