Idag tar vi ett kort men viktigt tema: hur man rätt så enkelt kan förbättra säkerheten på ens online tjänster och konton. (Spoiler alert – genom tvåstegsverifiering.)
Vi använder vanligtvis lösenord för att logga in till diverse online tjänster. Lösenordet är hur vi verifierar åt tjänsten att vi faktiskt är vi. Sett från en säkerhetssynvinkel så är samtidigt lösenordet då det enda som hindrar andra från att lotsas vara oss. Och lösenord har sina brister.
För att undvika att någon gissar sig fram till våra lösenord så borde vi alltid använda starka lösenord. (Men det är ju lite jobbigt, så det blir inte alltid av…) Och till och med ett starkt lösenord kan läcka ut på Internet till följd av ett dataintrång.
Ett sätt att förbättra säkerheten är att lägga till ytterligare steg (utöver att skriva in lösenordet) som vi måste ta för att verifiera att vi är vi innan vi kommer åt tjänsten eller kontot i fråga. Då, även om någon sku lyckas få tag på vårt lösenord så sku de ändå inte kunna logga in som oss, eftersom lösenordet endast är ett av två (eller flera) steg i verifieringsprocessen.
Om vi tar som exempel ett bankkort. För att lyfta pengar från en automat så behöver vi det fysiska kortet. En faktor. Men sedan behöver vi också en andra faktor, vanligtvis en PIN kod (men kan också vara t.ex. fingeravtryck).
Tvåstegsverifiering i praktiken (ett litet extra steg, mycket extra säkerhet)
Ett av de vanligaste sätten att implementera tvåstegsverifiering är genom SMS. Det går då till så, att efter att man har matat in sitt lösenord så får man (automatiskt) ett textmeddelande med en kort teckenserie att mata in. Nyttan med det här är att det är mycket svårare för någon att komma åt ens konto. För att lyckas bryta sig in måste de komma åt både vårt lösenord och vår mobiltelefon.
Tvåstegsverifiering á la Apple (bild: apple.com)
Tvåstegsverifiering är inte felfritt, och det har hänt att skurkar lyckats lura in sig på andras konton. Men trots sina brister så är det ändå klart bättre än att bara köra med lösenord. Så överväg att åtminstone börja använda det för dina viktigaste konton.
Electronic Frontier Foundation har en atikelserie om tvåstegsverifiering som bl.a. går igenom hur man tar det i bruk på 12 olika tjänster. Orkar du inte med 12 konton så börja t.ex. med 2: Google och Apple-ID. (Länkarna för till Googles och Apples egna sidor om att ta i bruk tvåstegsverifiering.)
Å andra sidan innebär den där typen av tvåstegsverifiering två ”problem”:
Det första och allvarligare är det, att du därmed delar ut ditt telefonnummer åt sådana som på riktigt inte alls behöver ditt nummer…med det resultat, att sedan är du & din telefon ”fritt villebråd” för allsköns reklam-spam.
Det andra är det, att då verkar man bryta mot den ”naturlagen” som säger att det inte finns något sådant som en gratis lunch.
Inte heller SMS är helt gratis, så vem betalar alltså för dom där verifierings-SMS:en, och varför gör dom det? Knappast bara för att dom vill vara hyggliga…
Å andra sidan, den tjänst man loggar in till kostar ofta en del att tillhandahålla i vilket fall som hellst, vilket gör att frågan om hur tjänsteleverantören täcker kostnaderna är en fråga värd att begrunda ändå.
Förvisso kan man tänka så också, att kostnaden för SMS:ena bara är en liten del av den stora kostnads-kakan…men den lillan andelen sväller rätt fort till ofantligt omfång om alla skulle utnyttja tvåstegsverifiering.
Som exempel Facebook med ca. 2 miljarder användare, ponera att alla skulle logga in en gång om dagen med SMS-verifiering…det skulle medföra ca.730 miljarder SMS per år.
Personligen undviker jag av princip all sådan tvåstegsverifiering som kräver att man uppger sin telefonnummer och ser inte det beteendet som en säkerhetsrisk utan snarare tvärtom, som en åtgärd för att förbättra min säkerhet.
Tex. Nordea:s kod-app som dom kraftigt marknadsför som verifieringsmetod…varför måste den nödvändigtvis vara kopplad till just telefonen, när trots allt en rätt stor del av oss sköter det mesta av våra bankärenden via en ”riktig” dator som har ett hyggligt tangentbord? (För någon motsvarande app till datorn erbjuder dom ju inte)
Hej,
Tack för kommentarerna, och beklagar att det tagit så länge att svara.
Jag håller utan vidare med om att man skall fundera noggrant vilka tjänster man ger sitt nummer åt. SMS verifiering är inte problemfritt. Men ett annat problem är att det inte finns några enkla, problemfria tvåstegsverifierinssätt… Avvägningen för mig har att göra med en ”hur illa kan det gå om någon annan kommer åt kontot?” -frågeställning. Så t.ex. e-post kör jag med tvåstegsverifiering. (För tillfället via SMS, men hoppeligen någon dag via något bättre.) Kommer någon åt ens e-post kommer de åt alla ens konton via ”glömt ditt lösenord? -alternativet.
Min tankegång är att det enklaste botemedlet mot scenariot med återställda lösenord via e-post är att använda ett alldeles separat e-postkonto för sådant, och det kontot använder man sedan aldrig till något annat.
Risken att någon olovandes kommer åt ett e-postkonto som normalt aldrig används är tämligen minimal.