7 minutter å lese

Passord er ikke alltid nok – slik sikrer du deg med mobilen

Det skjer daglig: Passord kommer på avveie, og havner i hendene på folk som har alt annet enn rent mel i posen.

Enten det er som resultat av phishing, massive passordlekkasjer eller andre uheldige omstendigheter, kan det raskt oppstå ubehagelige situasjoner med potensielt enorme skadevirkninger. Spesielt utsatt er de altfor mange som er i overkant slappe med passordsikkerheten, og bruker samme svake passord på en rekke nettsider.

LES OGSÅ: Er du blitt hacket? Denne tjenesten gir deg svar

Et ekstra lag med beskyttelse

Mye av trøbbelet knyttet til slik «hverdagshacking» kan unngås om du aktiverer såkalt totrinnsverifisering, også kjent som tofaktorautentisering. Prinsippet er langt fra nytt, og du har garantert brukt det allerede – for eksempel når du skal logge inn i nettbanken din ved hjelp av BankID.

bank_id

Som navnet antyder, innebærer totrinnsverifisering at du må bekrefte identiteten din i to omganger før du får logget inn. I tillegg til det vanlige passordet (noe du kan) må du også klare å hoste opp unik informasjon via noe du har – og i de aller fleste tilfeller er det her snakk om mobilen din.

De siste årene har bruken av totrinnsverifisering skutt i været. Mye takket være nettopp mobilen, som har forenklet den tidligere så tungvinte prosessen med å taste inn koder fra en id-brikke eller en brevsendt kodeark (du aldri finner når du trenger det).

Enten det gjelder mailtjenester som Gmail eller Outloook, eller sosiale medier som Facebook og Instagram: Du kan selv forestille deg hvor kritisk det er om noen andre enn deg snusker seg inn i disse tjenestene, knyttet til din identitet – gjerne også med mulighet til å nullstille passord og/eller logge seg videre inn på andre tjenester …

Om noen skulle få tak i passordet til en konto du har beskyttet med totrinnsverifisering, vil de altså ikke kunne logge seg inn med mindre de også har fått tilgang på mobilen din – som du ganske sikkert har med deg til enhver tid, og beskytter med en kode.

Skjermbilde 2016-08-09 kl. 09.49.12

Samler kodene i en app

Når du skal logge inn på en konto du har beskyttet på denne måten, vil du etter å ha tastet inn passordet typisk få tilsendt en SMS med en engangskode – eventuelt kan du hente ut en slik engangskode fra en egen app. Disse kodene er tidsbegrenset, slik at du må taste dem innen en gitt tid for å få tilgang.

For å slippe å gjenta denne prosessen altfor ofte på nettlesere du bruker til daglig, kan du som regel også velge å «godkjenne» enheten eller nettleseren for framtidig bruk.

Samtidig som stadig flere nettbaserte tjenester tilbyr totrinnsverifisering, samler de seg i stadig større grad også om fellesstandarder som gjør det lettere å være en sikkerhetsbevisst nettbruker i det daglige.

I tillegg til den klassiske metoden med mottak av engangkoder på SMS eller e-post, kan det være mer praktisk og smart å bruke en egen app for å generere unike og tidssensitive sikkerhetskoder. Det finnes etterhvert en rekke gratisapper som støtter den såkalte TOTP-protokollen (Time-based One-Time Password), blant annet disse:

For å bruke en slik app, må du først legge til en eller flere kontoer som støttes – enten ved å taste inn informasjonen manuelt, eller enkelt scanne en QR-kode du gjerne kan få opp i innstillingene til de aktuelle tjenestene.

how-protects-img-3

Slik aktiverer du totrinnsverifisering på noen av de mest brukte tjenestene:

Google:

Sjansen er stor for at du har en Google-konto – enten det er som bruker av Android, Gmail eller en annen av de etterhvert svært mange gratistjenestene nettgiganten tilbyr på nett. Med tanke på hvor mye privat og viktig informasjon mange av oss legger igjen hos Google, er det tilnærmet galskap å ikke sikre dette med totrinnsverifisering.

Google har heldigvis gjort det svært enkelt å aktivere dette ekstra sikkerhetslaget, enten du har én eller flere Google-kontoer. Du kan lære mer om hvordan dette fungerer, samt sette opp kontoen(e) din(e) ved å følge anvisningene på denne nettsiden.

Facebook:

Øverst til høyre i skjermbildet (i nettleseren på en datamaskin) finner du en liten nedover-pil. Trykk på denne for å få opp en meny, og velg Innstillinger. Inne i innstillinger-menyen velger du undermenyen Sikkerhet – her velger du videre menyvalget Godkjenning av innlogging.

Når du logger inn fra en ny og ukjent nettleser, vil Facebook etterspørre en sikkerhetskode i tillegg til det vanlige passordet ditt. Standardvalget er å få dette levert via SMS, men du kan kan også bruke Facebook-appen på mobil eller en egen autentiseringsapp (se listen lenger opp) for å hente ut engangskoder på mobilen din.

facebook

Apple / iCloud:

Mange har også lagt store deler av det digitale livet sitt i hendene til Apple, og da er det gjerne også smart å sikre dette så godt som mulig. Det tok riktignok litt tid, men også Apple lanserte nylig støtte for totrinnsverifisering for norske iCloud-brukere – og har gjort det enkelt å bruke dette på tvers av Apple-enhetene dine.

Når du logger på iCloud fra en ny enhet, enten det er via en nettleser eller en ny iOS-enhet, vil du bli spurt om å taste inn en engangkode. Denne kan du velge å få tilsendt på SMS, e-post eller som en pop-up på en annen, aktiv iOS-enhet du måtte ha i nærheten. Foreløpig støtter ikke Apple tredjeparts TOTP-apper.

Godkjenning med to faktorer er for tiden tilgjengelig for alle iCloud-brukere med minst én enhet som bruker iOS 9 eller OS X El Capitan eller nyere. Finn ut mer.

Du kan følge trinnene under for å slå på godkjenning med to faktorer.

På iPhone, iPad eller iPod touch med iOS 9 eller nyere:

  1. Gå til Innstillinger > iCloud > og trykk på Apple-ID-en din.
  2. Trykk på Passord og sikkerhet.
  3. Trykk på Slå på Godkjenning med to faktorer.

På Mac med OS X El Capitan eller nyere:

  1. Gå til Apple ()-meny > Systemvalg > iCloud > Kontodetaljer.
  2. Klikk på Sikkerhet.
  3. Klikk på Slå på Godkjenning med to faktorer.

Du kan lese mer om hvordan du aktiverer og bruker totrinnsverifisering på iCloud hos Apple.

apple-id-two-factor-verification-hero

Twitter:

Twitter har ikke vært best i klassen på sikkerhet, noe som har ført til en lang rekke hackede Twitter-kontoer gjennom årenes løp. Du kan imidlertid sikre kontoen din med Twitters egne tofaktor-løsning, som sender deg en SMS med en engangskode om det registreres innlogging fra en ny enhet. Du kan lese mer om hvordan du setter opp dette på Twitters hjelpesider – merk at du må ha både verifisert mobilnummer og e-postadresse for at funksjonen skal kunne aktiveres.

Instagram:

Også Instagram kom seint på ballen, men introduserte tofaktorautentisering tidlig i 2016 … men tilsynelatende skjedde det bare i USA. Hos undertegnede har ennå ikke valget for totrinnsverifisering dukket opp i innstillingene, slik det rapporteres om fra amerikanske brukere. Forhåpentlig kommer funksjonen på plass om ikke lenge.

Snapchat:

Snapchat har på sin side innført det de kaller innlogginsverifisering, som du kan lese mer om her. For å aktivere funksjonen, må du gå til dine Snapchat-innstillinger og velge Innlogginsverifisering – du kan velge å få disse kodene via SMS, eller ved å bruke en av de mange TOTF-appene.

Steam:

Spillsamfunnet Steam har også en egen løsning for totrinnsverifisering kalt Steam Guard. Med denne aktivert, vil du kunne sikre spillkontoen din mot de mange lyssky hackerne med forkjærlighet for nettopp spillkontoer. Dessverre støtter ikke Steam tredjepartsløsninger, men krever at du bruker deres egen mobilapp for å hente ut engangskodene (om du ikke vil ha kodene levert via SMS eller e-post).

banner_phones (1)

Også andre store spillselskaper har egne løsninger for totrinnsverifisering – det kan være smart å ta en titt etter disse og skru dem på, så risikerer du ikke å miste alle godene du har samlet opp gjennom hundrevis av spilletimer om passordet ditt skulle komme på avveier …

Dropbox:

Om du har lagret filene dine i skyen, vil du mest sannsynlig også at de skal være så sikre som mulig. Velg Innstillinger fra menyen øverst i høyre hjørne av skjermen (på desktop), velg deretter undermenyen Sikkerhet. Her finner du et valg for å skru på to-trinnsverifisering – trykk på aktiver for å gå videre. Dropbox har også støtte for TOTF-apper.

Passordprogrammer:

Sist, men ikke minst: Om du bruker et passordprogram som LastPass eller 1Password for å holde styr på de etterhvert mange passordene du har rundt omkring, er det spesielt smart å aktive tofaktorautentisering også her – så slipper du at alle passordene dine kompromitteres om «hovedpassordet» ditt skulle falle i feil hender.

Du kan raskt få en oversikt over en rekke populære tjenester som støtter totrinnsverifisering på nettsiden twofactorauth.org.