Så funkar det

Tvåstegsverifiering i praktiken

Google, Apple, Facebook, Microsoft, Dropbox och nu senast Twitter – allt fler tjänster och företag erbjuder tvåstegsverifiering för ökad säkerhet på nätet. Men vad är det och hur fungerar det? 99mac reder ut begreppen.

#Säkerhet på nätet är ett ständigt aktuellt ämne. Nästan varje vecka kommer det nya rubriker om olika sajter som blivit hackade, där användarnamn och lösenord läckt ut på nätet. Som flitig användare av tjänster på nätet kan du i princip räkna med att du förr eller senare råkar ut för det personligen. Kanske har du redan varit med om att en sajt du besöker tvingat dig att byta lösenord efter en hackning.

Den bästa förberedelsen du kan göra som användare är att aldrig använda samma lösenord överallt utan istället använda en lösenordshanterare likt 1password eller Last Pass för att generera unika lösenord för varje tjänst du ansluter dig till. Det eliminerar risken att en hackare kommer över ditt login från en sajt och kan använda det på en annan. Vi har tidigare skrivit mer om lösenordshanterare.

Bara lösenord inte tillräckligt längre

Unika lösenord är en bra grund, men ibland är det inte tillräckligt. Om någon skulle komma över (eller bara gissa sig till) ditt lösenord till en viktig tjänst kan denne hinna ställa till med stor skada innan du hinner byta lösenord, om det ens går. E-post kanske är den viktigaste tjänsten att skydda, men även sociala medier är nästan lika viktigt då det är din identitet på nätet gentemot andra.

Genom att agera i ditt namn på till exempel Twitter och Facebook går det snabbt att ställa till med skador som tar lång tid att reparera. Skickliga hackare använder gärna social manipulation (eng. "social engineering") där de genom att utge sig för att vara en person du litar på kan få dig att utelämna känslig information. Det finns många berömda fall på nätet, som när en hackare i Florida kom över nakenbild på Scarlett Johansson genom att använda identiteten från en kändisstylist. Därför har du även ett ansvar gentemot din omgivning att sörja för god säkerhet på nätet.

För att öka säkerheten ett snäpp till när vanliga lösenord inte anses tillräckligt behövs någon form av ytterligare verifiering att du verkligen är den du utger dig för att vara. Det är detta som kallas tvåstegsverifiering. Du har förmodligen redan använt dig av det utan att du tänkt på det om du någonsin använt en internetbank.

Du använder redan tvåstegsverifiering

Alla banker använder sig av någon form av tvåstegsverifiering, den vanligaste metoden är en speciell dosa som banken givit dig. Vid inloggning måste du först låsa upp dosan med en PIN-kod (första steget) och sedan använda den för att generera unika siffror som banken vet bara kommer från just din dosa (andra steget). På så sätt upprätthålls en relativt god säkerhet.

Bankverksamhet är så pass centralt i våra liv att vi kan kosta på oss besväret att hålla reda på en speciell dosa, men det vore ohållbart om varje tjänst vi använder kräver sin egen dosa. Lösningen är istället att använda mobiltelefonen, en slags personlig dosa som i stort sett varje människa numera bär med sig överallt.

Tvåstegsverifiering via SMS är den vanligaste lösningen i dagsläget som bland annat Gmail, Facebook och nu senast Twitter använder sig av. Även Apple har infört tvåstegsverifiering för Apple-ID, men bara i vissa länder än så länge, Sverige är inte klart än.

Tvåstegsverifiering via SMS i praktiken

För att logga in anger du ditt användarnamn och lösenord som vanligt men innan du släpps in måste du även mata in en sifferkod som skickats till din telefon via SMS. En hackare som kommit över ditt användarnamn och lösenord stoppas därmed om inte denna också fått tag i din telefon.

Tvåstegsverifiering gör inloggningen krångligare så för att slippa göra det varje gång kan du vanligtvis välja att godkänna datorn eller enheten som säker under en viss tid framåt, till exempel en månad.

Om telefonen inte finns till hands

Så långt är tvåstegsverifiering inte så komplicerat, men det finns några saker att tänka på. Det första är vad som händer om du tappar bort din mobiltelefon eller om du byter telefonnummer. Då kan du inte längre ta emot SMS:et med verifieringskoden och är utelåst från tjänsten. Den vanligaste lösningen är att du kan lägga upp reservtelefonnummer till någon du litar på.

Om du reser utomlands kanske du inte ens har tillgång till något mobiltelefonnät eller någon av reservtelefonerna. Då kan engångskoder hjälpa dig. Bland annat erbjuder Gmail som standard tio stycken engångskoder som du till exempel kan skriva ut och ha med dig för att kan logga in utan verifiering via SMS. Engångskoderna är förstås också användbara i fall du blir av med din telefon här hemma i Sverige.

Det är viktigt att tänka igenom dessa scenarier innan du aktiverar tvåstegsverifiering så att du inte står med skägget i brevlådan när du ska komma åt din e-post med mera.

Programspecifika lösenord för tredje part

Tvåstegsverifiering fungerar bra om du ska logga in direkt till tjänsten, som till exempel när du använder Gmail in din webbläsare. Om du däremot ansluter till Gmail via ett mejlprogram av något slag går det inte lika bra. Apples Mail, både i IOS och OS X, kan till exempel inte hantera Gmails tvåstegsverifiering och Twitter-klienter som sparar lösenord stödjer inte den nya tvåstegsverifieringen från Twitter.

Lösningen på detta är att generera programspecifika lösenord, ett för varje anslutning. Du behöver ett lösenord för Mail i OS X, ett för Mail i Iphone och ytterligare ett för Mail i din Ipad. Det är någonstans här folk börjar svära över tvåstegsverifieringen och önska att de aldrig aktiverat den… men det är priset du får betala för att öka säkerheten.

För den som redan använder en lösenordshanterare likt 1password (vilket alla borde) är de programspecifika lösenorden inte något större besvär att hålla reda på, men det är ändå en process i flera steg varje gång nya ska skapas.

Appar som alternativ till SMS-verifiering

Verifiering via SMS är den vanligaste varianten, men det finns alternativ. Google tillhandahåller en speciell app, Google Authenticator, som kan generera koder istället för att det går via SMS. Det är en öppen tjänst som många andra också använder sig av. Appen kan bland annat läsa av en streckkod på skärmen med mobilkameran och generera en unik kod utifrån det, fungerar till exempel med Microsofts tvåstegsverifiering för Outlook.

Facebook erbjuder SMS som standard, men har också byggt in funktionen direkt i sin app och kallar det Kodskaparen, även om den för tillfället heter Code Generator i appen (hittas i menyn som kommer fram om man drar från vänster kant på skärmen).

Tjänster som erbjuder tvåstegsverifiering

Nedan är en kort lista på några av de mest kända tjänsterna som erbjuder tvåstegsverifiering och länkar till mer information. Kom gärna med tips om fler tjänster att lägga till listan, i kommentarerna.

Tänk först, aktivera sedan

Det går inte att komma ifrån att tvåstegsverifiering komplicerar vårt digitala liv ytterligare ett snäpp, hur hårt de olika tjänsterna än arbetar för att göra det så smärtfritt som möjligt. Fördelen är betydligt bättre säkerhet och mindre oro över att råka ut för problem. Om tvåstegsverifiering erbjuds bör du aktivera det, men gör det inte utan att ha förstått vad det innebär och hur det fungerar.

Regelbunden säkerhetskopiering och unika lösenord i en lösenordshanterare är de första stegen du bör ta för att hålla dig och dina data säkra. Därefter är tvåstegsverifiering nästa steg mot en god nattsömn.

Kommentarer
5 svar

Nintendo, simdollar, Google och solenergi är några av ämnena som avhandlas i veckans poddavsnitt.

Datorspelen Portal och Portal 2 har blivit kända bland annat för sina stämingsfulla avslutningslåtar, och här kommer ännu mer musik inspirerad av Portal.

Med den modulära datorn Kano kan vem som helst lära sig att skruva ihop sin egen hårdvara för ett flertal olika användningsområden. Med Kano Code går det också att lära sig grundläggande programmering. 99mac har pratat med Tommy Säl, som arbetar på Kickstarter-succén.

Super Mario Run släpps nästa vecka, och väntas bli ohyggligt populärt. Nu avslöjas dock att spelet kräver uppkoppling mot internet för att fungera.

Läs för dina barn eller själv en ordentlig julsaga i interaktiv form på Ipad, Iphone eller Android när Snobbens ägare Charlie Brown letar julens mening.

Bakom lucka nio i Geeks Julkalender döljer sig både ett fint erbjudande på tangentbordet G610 Orion Red från Logitech, och en tävling där du kan vinna tangentbordet, spelmus och andra tillbehör.