Under förra veckan anordnades säkerhetskonferensen RSA Conference. På plats fanns Microsoft som berättade om säkerhet bland deras tjänster. Presentationen bekräftade bland annat att 99,9 procent av alla lyckade attacker mot online-konton görs på konton som saknar ett viktigt säkerhetsskydd.
Tvåfaktorsverifiering är nyckeln
Skyddet kallas tvåstegsverifiering och i vissa fall tvåfaktorsverifiering. Tekniken har funnits i många år och används av alla stora onlinetjänster. Ett av de enklaste och minst säkra sätten att använda tvåstegsverifiering är över SMS. Även om användaren skriver in rätt lösenord kan tvåstegsverifiering kräva att användaren dessutom skriver in en sexsiffrig kod som skickas med ett SMS. Det betyder att en hackare som inte har tillgång till användarens telefon eller SIM-kort inte kan få åtkomst, trots att den har listat ut användarens lösenord.
Microsoft menar alltså att 99,9 procent av lyckade attacker sker på konton som saknar tvåfaktorsverifiering. Det beror inte på att 99,9 procent av konton saknar skydd med tekniken. Inom företag används tvåfaktorsverifiering på cirka 11 procent av konton, enligt Microsoft. Det är en siffra som kan tyckas vara låg på konton som sannolikt ofta innehåller företagshemligheter. Det bristande skyddet gör att 0,5 procent, eller 1,2 miljoner konton hackas varje månad.
Återanvända lösenord
En förklaring till tvåfaktorverifierings effektivitet är sannolikt att personer som använder tekniken troligen också har bättre lösenord. 40 procent av lyckade attacker genomfördes med så kallade replay-attacker. Dessa attacker går ut på att läckor i andra databaser används för att testa inloggningar med samma inloggningsuppgifter på andra tjänster. Microsoft menar att cirka 60 procent av användare använder samma lösenord på mer än en hemsida. Denna återanvändning gör alltså replay-attacker möjliga. Utan tvåfaktorsverifiering har användaren då inget skydd mot attacker.
Tvåstegsverifiering går att aktivera med så gott som alla onlinetjänster. SMS används av vissa tjänster för att bekräfta användarens identitet. Andra använder meddelanden som skickas till redan inloggade enheter och vissa har också stöd för så kallade engångskoder i appar eller fysiska säkerhetsnycklar. De två sista alternativen är några av de mest säkra. Engångskoder kan aktiveras helt utan kostnad eller speciell hårdvara. Det enda som krävs är en smartphone. Vi har skrivit en guide för hur tvåfaktorsverifiering kan aktiveras med Googles tjänster i artikeln nedan. I denna artikeln kan du dessutom se hur du kan hantera dina engångsnycklar på ett smidigt sätt.
Källa: YouTube (RSA Conference)
På Surfa.se jobbar vi utifrån konsumentjournalistiska principer för att ta reda på sanningen. Vi skriver utförliga artiklar och tester och tummar inte på kvalitet eller opartiskhet. Läs mer om hur vi jobbar för god journalistik här.
