nrk.no

Two is One. One is None – Slik sikrer du deg enkelt på nett

Kategorier: Apps,Software & Tips & Tricks

Nicolai Lenning og Geir Norland på standplass på Lysediagonalen. Kjerag, oktober 1999. Foto: Marius Arnesen
Nicolai Lenning og Geir Norland på standplass på Lysediagonalen. Kjerag, oktober 1999. Foto: Marius Arnesen

Digitale angrep i hopetall og overraskende avsløringer av svakheter i digitale systemer vi tidligere har ansett som sikre, har i den siste tiden preget teknologiverden.

De fleste av skytjenestene vi bruker i det daglige er nemlig kun beskyttet med et enkelt passord som er lagre hos den ekstern leverandøren som eier systemet. Denne formen for autentisering utgjør i utgangspunktet en relativt solid sikkerhetsrisiko for den enkelte av oss.

Kombinert med den jevne brukers uvitenhet og dårlige dømmekraft, er mange rett og slett svært dårlig sikret mot digitalt tjuveri, selv i det herrens år 2014.

Men finnes det en enkel og solid måte å beskytte seg bedre på i det daglige?

Kan vi lære noe av fjellklatring?

Til tross for stigende alder og en kropp som vel ikke lengre omtales som en «klatrekropp», er det altså slik at jeg i min ungdom var en relativt aktiv klatrer.

Jeg lærte mye av å klatre på alt fra små steiner til store fjellvegger. Lærdom som jeg har tatt med meg videre i livet, og til stadighet trekker opp av visdomssekken.

En av de enkleste, men likevel viktigste prinsippene jeg lærte som klatrer, var den litt klisjeaktige setningen: «Two is One. One is None».

Én sikring i fjellet er å regne som ingenting. To sikringer er å regne som én sikker sikring.

Les også: Hva er Heartbleed?

Dette banale, men svært effektive tankesettet, rundt sikkerhet kan vi selvsagt også overføre til våre digitale liv.

Sikrer du en digital konto med kun én sikring har du i praksis ingen sikkerhet og står i fare for at uvedkommende får tilgang til kontoen. Sikrer du den med to, har du enda et lag av sikkerhet som kan ta «fallet» ditt. Som man vel ville sagt på klatrespråket.

Multi-faktor autentisering

Digital sikring på denne måten kan samles under begrepet «multi-faktor autentisering», eller mest kjent på engelsk som «two-step verification».

Ved å i tillegg til å ha et passord på de ulike kontoene du bruker, har en annen «sikker enhet» du kan motta en kode til, styrkes sikkerheten din betraktelig.

Du har altså et lag av sikkerhet i kraft av at du vet noe hemmelig (passord) og enda et lag av sikkerhet i kraft av at du eier en «sikker enhet» som kan generere en kode for deg.

padlock-2step

En slik «sikker enhet» er i dag ofte en mobiltelefon eller en egen kodebrikke slik mange banker utstyrer kundene sine med.

Man kan også si at en minibank opererer etter det samme prinsippet, hvor man både må ha et kort og en kode for å få ut penger. For å se litt prinsipielt på det.

Google – et eksempel

Teorien kan kanskje høres litt komplisert og klønete ut, men i praksis er det ikke så ille som det høres ut som. La oss se på et eksempel.

Screen Shot 2014-06-13 at 9.27.17 AM

Svært mange i Norge har en Google-konto, eller en GMail-konto, som vel er den delen av Google-kontoen de fleste har et forhold til. Får noen tak i passordet til din GMail-konto har de i praksis full tilgang til all din mail-korrespondanse, og du skal være i overkant årvåken for å oppdage at noen faktisk har denne tilgangen.

Google, som var svært tidlig ute med en slik løsning på nett og har vært en av pådriverne for «two-step verification», har laget et system som både er sikkert og som også er relativt smertefritt å bruke.

Screen Shot 2014-06-13 at 10.07.58 AM

Ved å aktivere «Google 2-step verification» på din konto må du i tillegg til å skrive inn passordet ditt for å få tilgang til kontoen din, også inn med en unik kode.

Denne unike koden kan du få som SMS til telefonen din, eller via Googles egen mobilapplikasjon Google Authenticator app.

Blir det ikke for mye «stress»?

Noe av det som gjør at mange kanskje holder igjen på å skru på two-step verification på sine kontoer, er at det fortoner seg som relativt masete. Det trodde vi i NRKbeta-redaksjonen også ved første øyekast.

Du bestemmer imidlertid selv om du skal bruke koden hver gang du logger inn fra en maskin/nettleser, eller om du vil betrakte maskinen som «sikker» etter at du har logget inn første gang, og dermed la two-step verfication være noe du kun gjør hver gang du setter opp en ny maskin/enhet.

Mister du denne maskinen, lar det seg fint gjøre å «trekke» tilbake godkjenningen du har gitt den, slik den som eventuelt vil misbruke maskinen din fortsatt blir nødt til å skrive inn en engangskode for å få de ulike kontoene til å fungere.

En slags standard

Flere av tjenesten som i dag støtter two-step verification lar deg bruke hvilket som helst kode-generator så lenge den støtter «Time-based One-Time Password (TOTP)«- protokollen.

Her finnes det flere å velge i til de fleste plattformer og operativsystemer:

På denne måten trenger du kun en app på telefonen din, som sørger for å generere koder til flere ulike tjenester.

Tjenester som støtter Two-Step

Lista over tjenester som støtter two-step verification er lang, og den vokser stadig. De fleste av de mest utsatte tjenestene som Apple (Update: Ikke tilgjengelig for norske kunder), Google, Facebook, PayPal (Update: Ikke tilgjengelig for norske kontoer, kun amerikanske), DropBox, LinkedIn, WordPress og Microsoft støtter i dag allerede teknologien.

Den komplette lista over hvilke tjenester du kan bruke two-step verification på finner du hos Wikipedia.

Du finner muligheten for å skru på two-step verification hos de fleste av tjenestene under «Innstillinger > Sikkerhet > Two-Step verfification». Eller noe som ligner.

Bruker du two-step verification? I så fall hvorfor eller hvorfor ikke?

36 kommentarer

  1. Christoffer Cena

    Har sjølv brukt to-faktor-autentisering i snart eitt år for tenester som Google Apps, Dropbox og mange andre.

    For dei fleste tenestene brukar eg Google Authenticator, noko som har fungert strålande. Det vil seie, inntil nyleg, då eg bytta telefon, noko som forsåvidt gjekk greitt. Då logga eg meg på alle 2FA-tenestene, deaktiverte og aktiverte 2FA (Google har ein funksjon som gjer dette for deg) for å sette opp ny telefon. Fordelen var at eg framleis hadde den gamle telefonen for å logge meg på.

    Verre var det då den nye telefonen kort etter brått utførte ein «factory reset» og Google Authenticator forsvant med alle andre app-ar på telefonen.

    Denne hendinga lærte meg eitt par ting om 2FA:

    1. Ha alltid backup-løysingar for pålogging, som SMS, der det er mogleg, og/eller reservekoder. Evt vurdere SMS i staden for app.

    2. Manglar du backup er det svært tungvint, men ikkje umogleg, å få tilbake tilgongen til kontoen din.

    Svar på denne kommentaren

    • Hei

      Det nytter vel ikke med hverken 2 eller 27-stegs sikkerhet hvis NSA og andre har fått tilgang til serverne til google…? 😉

      Da blir det jo et spill for galleriet..

    • Halvor (svar til ls)

      Selv om du vasker hendene etter at du har vært på do kan det være lurt å se seg for før du krysser gata. Ulike trusler krever ulike mottiltak. Frykter du svindel og misbruk av kontoene dine bør du bruke 2FA. Frykter du NSA er det helt andre ting du må gjøre.

  2. Apple har vel ikke støtte for 2-trinns autentisering i Norge (enda)..?

    Og ikke beskytter de dataene dine heller. Kun beskyttelse mot uautorisert kjøp, noe som sikkert er pushet fram av visa/MasterCard.

    Alt for dårlig av apple!

    Svar på denne kommentaren

    • Espen (svar til Sjur)

      To-trinns autentisering lar vente på seg for norske Apple-kunder. Istedet har vi foreløpig «dobbeltsikring» gjennom 3 kontrollspørsmål du spørres om hvis du vil ha adgang til din Apple id- konto.
      Og har man laget gode svar på dem (husk at man kan la svarene være en blanding av tall, tegn og bokstaver – svaret på favorittlærer trenger ikke være lærerens navn…), er dette en ganske god sikring (om ikke like praktisk/kjapt som app- autentisering).

      Verre er det selvsagt om en bedrager er en virkelig dyktig «social engineer»
      (som i dette tilfellet: medium.com/cyber-security/how-i-lost-my-50-000-twitter-username-24eb09e026dd)
      og klarer å overtale helpdesken til å få adgang til en annens konto
      (som i dette tilfellet:wired.com/2012/08/apple-amazon-mat-honan-hacking/all/),
      men det kan skje om man egentlig bruker app- autentisering også.

      For å lette jobben med å ha gode/lange passord, anbefaler jeg varmt 1Password (OS X, Windows, Android, iOS) (agilebits.com/onepassword). Det er et program som lager, lagrer og synkroniserer (via ditt eget nettverk, Dropbox eller iCloud) passord (og annen sårbar info). Gjør det lett å lage ganske «hårete» passord. Integreres i Safari, Chrome og IE. Kan også bruke 1Passwords egen nettleser, som bidrar til ytterligere kryptering ved pålogging.
      Bare et lite tips.

  3. Martin H. Hamstad

    Problemet for meg med to-faktor autensitering er at man er avhengig av data-tilgang på mobilen. Jeg jobber som free-lance på båter i oljeindustrien og ikke alle båter har trådløst nett. Så om jeg kommer på båt uten nett så får jeg ikke tilgang til kontoen min. Noen ganger reiser vi rett ut på båten med helikopter, så det nytter ikke å gjøre det i havn heller. Dessuten er jo mobil forbudt på de fleste oljeplattformer. En annen ting er kostnad. Jeg var nylig i Kina, og selv om jeg passet på å slå mobildata av og på etter om jeg trengte det, kom jeg hjem til ei mobilregning på 700 kr. Så får meg hadde det passet bedre med en «gammeldags# kodebrikke som jeg bruker i nettbanken.
    Dessuten har jeg lurt på hva galt kan skje om noen får tak i f.ex. Gmail kontoen min, og jeg har vurdert skaden til så liten at jeg foreløpig nøyer meg med et litt vanskelig passord. Skulle jeg begynne med en sky-tjeneste må jeg vel vurdere på nytt.
    I tillegg er jeg veldig skeptisk til å basere livet mitt i alt for stor grad på mobilen. Hva om den går i stykker, blir stjålet etc. Da står man der fullstendig i blinde.

    Svar på denne kommentaren

    • Christian Thrane (svar til Martin H. Hamstad)

      Kode-appene er ikke avhengig av nettilgang for å fungere. De generer en kode basert regnestykke der to viktige faktorer er en unik identitet for akkurat din app og klokkeslett. Det vil si akkurat slik kodebrikken du får fra banken fungerer.

    • Arjan Einbu (svar til Martin H. Hamstad)

      «Dessuten har jeg lurt på hva galt kan skje om noen får tak i f.ex. Gmail kontoen min, og jeg har vurdert skaden til så liten at jeg foreløpig nøyer meg med et litt vanskelig passord.»

      Jeg tenker selv at epost-kontoen kanskje er noe av det som aller viktigste å beskytte. De fleste andre passord kan jo tilbakestilles med «jeg har glemt passordet»-funksjonalitet, som gjerne sender en mail til eposten din. En som har tilgang til min epost-konto har da omtrent fritt leide inn på andre nettsteder med min identitet.

  4. Etter jeg gikk leste dette gikk jeg til paypal for å prøve. Dette er ikke tilgjengelig for norske paypal kontoer. Jeg ringte kundeservice og vil nå deaktivere min norske konto og opprette en engelsk med samme epostadresse. Valutaen kan man jo sette til hva man vil uansett. Teite greier…

    Svar på denne kommentaren

    • Marius Arnesen (NRK) (svar til henriko)

      Nei… vi oppdaga også det gitt. Teit.

      Godt tips og opprette en amerikansk-konto hvis det funker med SMS til Norge?!

    • Nei. Det vil ikke fungere. Man trenger et amerikansk telefonnummer. En annen teit greie med paypal. På Norsk konto kan man bare knytte til norske telefoner, amerikansk amerikanske telefoner osv…

      Nå har det seg slik at jeg allerede har en engelsk telefon, så for meg så er det greit, men for den gjengse nordmann er nok ikke 2-faktor i paypal en opsjon.

  5. Skulle gjerne brukt 2-step V, men problemet mitt er at jeg bruker Mozilla Thunderbird på hjemmePCen. Den skjønner ikke at den må spørre etter ekstra kode. Noen som vet hvordan det kan løses?

    Svar på denne kommentaren

    • JohnE (svar til TET)

      Hvis du har gmail, så kan du bruke det Google kaller «App-specific passwords» (ikke sikker på hva de kaller det på norsk). Det gjør du i dine innstillinger hos google. Du genererer et tilfeldig passord, og kaller det f.eks. «gmail-thunderbird». Når du skal autentisere via Thunderbird bruker du så dette passordet. Dermed trenger du hverken å bruke hovedpassordet ditt eller ekstra 2FA. Det er fortsatt litt risiko, men på langt nær så stor som kun ved å bruke hovedpassord.

      Nå er problemet lagring av dette app-spesifikke passordet (det er så langt at det ikke er mulig å huske det for vanlige dødelige). Du kan velge å lagre det i Thunderbird, men det er jo en risiko i tilfelle tyveri av PCen. Selv har jeg lagret det i en såkalt passordmanager (som f.eks. LastPass), der det er kryptert, og jeg henter det fram derfra ved behov, dvs. hver gang jeg restarter Thunderbird. Litt knot, men det er verdt det (håper jeg).

      Da laptopen min ble stjålet for en stund siden kunne jeg bare gå inn i mine google-innstillinger og «revoke» det app-spesifikke passordet, og generere et nytt for bruke på ny/annen PC. Dermed kan ikke tyven logge inn på gmail via Thunderbird selv om han skulle få tak i passordet som ble brukt, på et eller annet vis.

    • Christian Thrane (svar til TET)

      Om du har gmail la du bare gå inn i sikkerhetsinnstillinger. Der kan du få generert er applikasjonsspesifikt passord for Thunderbird.
      Dette passordet kan du senere deaktivere dersom noen stjeler laptopen/mobilen/pad’en etc…

  6. To trinns sikkerhet har nok mest en agenda med å knytte den enkelte bruker opp mot en «sikker» enhet, om det er en mobil, eller annet. Dette elsker jo google som er for å overvåke alt og alle ulovlig og dele informasjonen med de som var med å støtte google økonomisk i oppstarten.

    Svar på denne kommentaren

    • Øystein (svar til Synne)

      Hvordan kan dette brukes til å knytte en bruker opp mot en enhet?

      Det er kun en delt hemmelighet mellom deg og tjenesten. Om man velger å bruke «Google Authenticator» eller noe helt annet for å generere disse engangspassordene, er helt opp til en selv.

  7. eddy jacobsen

    Vil bare gi et sikkerhetstips her; og som jeg aldri har sett omtalt av eksperter….
    Når du slår inn passordet ditt på feks google. gmail – og du vet med hundre prosent sikkerhet at du HAR slått det korrekt inn, og du får feilmelding – IKKE – IKKE – slå det inn på nytt, men steng ned serveren, slett datahistorikken, og åpne serverern igjen for å starte fra nytt.
    Det er nemlig slik at siden du får feilmelding på tross av at du vet du har slått det inn riktig, er at noen er inn på siden din og manipulerer passordet ditt, for å få deg til å slå det inn på nytt, slik at disse hackerne får hele passordet.
    Samme med Facebook…..og annen medier…..

    Svar på denne kommentaren

    • Dette er ikke helt nødvendig for en person som vil ha ditt passord.
      Det lar seg gjøre å videresende hva du skriver inn den éne gangen direkte til google etter at de har snappet opp passordet.
      Dermed vil du som bruker ikke merke noe, og bli overført til de vanlige google sidene som om ingenting skulle ha hendt.

      Selvsagt er det du nevner den letteste måten for en slik person å få tak i ditt passord,
      og dermed veldig viktig å gjøre folk oppmerksome på, men det beste er nok fortsatt å følge med på addressefeltet når du skal logge inn på steder.

      (Tåpelig at det er så populært å fjerne dette feltet på mobile enheter…)

    • Man merker vel rimelig fort om man er blitt browser-jacked.

      Folket må kjøre mer anti-virus, få fjernet trojaner som inneholder keylogging.

  8. Jostein Tveit

    Tofaktor autentisering er noe jeg skulle ønske at flere nettsteder kunne tilby.
    Det er ikke all verdens jobb som skal til for å lage en løsning som er utrolig mye sikrere enn kun brukernavn og passord.

    Dersom noen vurderer å implementere en enkel løsning for tofaktor autententisering kan dere se lyntalen min fra JavaZone i fjor høst:
    Implementer tofaktor autentisering på 10 minutter!

    Lyntalen viser hvordan det gjøres i Java, men det bør være enkelt å implementere i andre språk også.

    Koden som vises fram ligger på GitHub: github.com/josteitv/authenticator-demo

    Svar på denne kommentaren

  9. The Fappening: Hvordan hackere fikk tilgang til kjendisenes private bilder

    […] har i det siste åpnet for multi-faktor autentisering, som gjør at du får tilsendt en engangskode hver gang du logger inn. Problemet er at de færreste […]

    Svar på denne kommentaren

  10. Totrinns-autentisering for Facebook

    […] har tidligere skrevet om konseptet her på NRKbeta, men i denne artikkelen gir vi deg imidlertid en steg-for-steg bruksanvisning som forklarer hvordan […]

    Svar på denne kommentaren

  11. Disse passordene ble mest brukt i 2014

    […] som er enda bedre enn et sterkt passord, er å i tillegg aktivere totrinns-godkjenning på tjenester som støtter dette. Totrinns-godkjenning er et velkjent begrep fra for eksempel […]

    Svar på denne kommentaren

  12. Slik sikrer du Google-kontoen din

    […] har tidligere skrevet om hvordan totrinns-autentisering fungerer i artikelen «Two is One. One is None«, og hvordan du setter opp dette for Facebook-kontoen […]

    Svar på denne kommentaren

  13. Jon Schjelderup

    Dette er et sikkerhetsgrep jeg ønsker å foreta, men jeg er skeptisk til å være for avhengig av telefonen. Det vraket av en iPhone jeg har stoler jeg ikke et halvt sekund på, og jeg har ingen planer om å begynne å bruke så mye penger på telefon at jeg alltid kan være sikker på at den virker. Dessuten, hvis jeg logger på en enhet jeg ikke har brukt før, er det ofte nettopp fordi telefonen min er tom for strøm eller noe. Jeg prøvde å få tilsendt koder fra Google via SMS, men da er man avhengig av å ha dekning, og det har jeg ikke alltid innendørs der jeg bor og jobber. I utlandet kommer kodene ofte ikke før etter flere minutter.

    Skulle ønske det fantes en universell kode-device à la den jeg har fra banken, men som kan kobles opp til flere tjenester (vet noen om dette finnes?). Da kunne jeg hatt den i nøkkelknippet og latt være å tenke dekning og lading.

    Svar på denne kommentaren

  14. Dropbox hacket – innloggingsdata for over 68 millioner brukere lekket

    […] men er likevel ikke nevneverdig bekymret for denne lekkasjen da vi alltid sørger for å bruke tofaktor-pålogging på tjenester som støtter dette. Instrukser for å aktivere dette finner du på Dropbox sine […]

    Svar på denne kommentaren

  15. Kryptering: Er du egentlig trygg på nett?

    […] du bruker så er det alltid viktig å ha litt orden på passord. Først og fremst ved at du aktiverer det som kalles tofaktorautentisering, og ved at du ikke har det samme passordet på mange […]

    Svar på denne kommentaren

  16. Millioner av mennesker bytter meldingstjeneste. Dette trenger du å vite.

    […] å ta en titt på hva du eventuelt kan slå av, og sørge for at du har skikkelige passord og tofaktorautentisering på alle tjenestene […]

    Svar på denne kommentaren

  17. NRKbetas nyhetsbrev 23. februar

    […] en ekstra kode fra app/SMS i tillegg til passord, tipser Ståle. Det er ikke så vanskelig, bare les denne sju år gamle (!) guiden fra Marius. Den er fortsatt brennende […]

    Svar på denne kommentaren

Legg igjen en kommentar til Kryptering: Er du egentlig trygg på nett? Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.