nrk.no

Totrinns-autentisering for Facebook

Kategori: Sikkerhet


NRKbeta er opptatt av nettsikkerhet, og har derfor laget en artikkelserie hvor vi presenterer tips og råd for hvordan du enkelt kan surfe fritt og trygt  på nettet.  

I den tredje artikkelen i serien viser vi deg hvordan du øker sikkerheten på Facebook.

Facebook-sikkerhet

En av de absolutt enkleste og beste måtene for å øke sikkerheten på dine egne nettkontoer på, er å skru på totrinns-autentisering eller Two-Step Verification som det heter på engelsk.

Vi har tidligere skrevet om konseptet her på NRKbeta, men i denne artikkelen gir vi deg imidlertid en steg-for-steg bruksanvisning som forklarer hvordan du skrur på dette for Facebook.

Konseptet totrinns-autentisering

Veldig forenklet fungerer totrinns-autentisering slik som nettbanken din fungerer.

Man har det vanlige brukernavnet og passordet sitt til tjenesten, men i tillegg bruker man enten en app på mobiltelefonen eller SMS for å få en unik kode hver gang man logger inn.

På denne måten blir simpel hacking av kontoen ved å gjette seg fram til passordet svært vanskelig.

En mer detaljert forklaring av konseptet finner du i vår artikkel Two is One, One is None – Slik sikrer du deg på nett.

Steg for steg på Facebook

Tre millioner nordmenn har Facebook-konto, noe som gjør Facebook til det definitivt mest brukte sosiale mediet i Norge.

De fleste av oss lagrer fortrolig informasjon, samtaler med venner og kjente, samt enorme mengder bilder på tjenesten.

Facebook tilbyr totrinns-verifisering til sine brukere, og det er ikke spesielt vanskelig å slå på.

1. Gå til Facebook Innstillinger

1

Denne siden er på mange måter sikkerhetshjernen i Facebook. Her kan du skru på en hel rekke innstillinger.

2. Gå til menyvalget Sikkerhet

Screenshot-2014-12-03-10.14.45

3. Her velger du «Godkjenning av innlogging».

Screenshot-2014-12-03-10.14.54

4. Kryss så av i boksen «Be om en sikkerhetskode for å få tilgang til brukerkontoen min fra ukjente nettlesere».

Screenshot-2014-12-03-10.15.28

5. Du får så opp et infovindu som forteller deg hvordan ting fungerer. Trykk «Kom i gang»

Screenshot 2014-12-03 10.15.39

6. For å sette opp totrinns-verifisering første gang vil Facebook sende deg en kode til din mobiltelefon. Har du ikke lagt inn telefonnummer i Facebook, eller ønsker å endre dette, kan dette gjøres i dette vinduet.

Screenshot 2014-12-03 10.15.59

7. Du må deretter velge om du vil sette i gang totrinns-verifisering umiddelbart, eller om du vil vente en uke før endringen trår i kraft. Har du for eksempel ikke mobilen din med deg, kan dette være en god ide og si «ja takk» til. Vi svarer imidlertid «ja takk» og setter igang umiddelbart.

Screenshot 2014-12-03 10.16.46

 

8. Nå er totrinns-verifisering skrudd på. Neste gang du logger på din FB-konto, vil du få spørsmål om å slå inn en kode som du får på SMS. Du kan også velge å sette opp en app på telefonen din som kan generere denne koden, hvis du ikke vil motta SMS hver gang.

Den mest brukte app’en for å generere en slik kode er Google Authenticator. Denne app’en kan brukes for å generere koder til flere nettsteder som støtter totrinns-verifisering, og så snart du har installert denne, kan du sette opp Facebook mot den.

Gå tilbake til Sikkerhetsinnstillinger og trykk på Kodegenerator.

Screenshot-2014-12-03-10.18.25

9. Når du har installert Google Authenticator vil du få opp et skjermbilde hvor du kan legge til en ny tjeneste.

Trykk på «Blyanten» og deretter «Pluss-symbolet». Velg så «Scan Barcode» og scan koden som Facebook nå viser deg. Facebook dukker da opp som et valg i lista over installerte tjenester og du vil se en kode som skifter hvert 30 sekund. Skriv inn koden som vises i Sikkerhetskode i vinduet på Facebook. Kodegenerator-app’en er nå installert på telefonen din.

QRKode

 

10. Nå er du i praksis ferdig med installasjonen.

Du kan selv velge om du vil at den nettleseren du nå sitter på skal klassifiseres som «sikker». Det vil si at du slipper å skrive inn koden hver gang du bruker denne nettleseren, og kun må skrive inn kode når du bruker nye nettlesere.

Screenshot 2014-12-03 10.21.18

11. Siste steg i prosessen er å skrive ut et ark med backup-koder.

Dette er koder du trenger om både SMS og appen ikke skulle virke. Et eksempel kan være hvis telefonen din blir stjålet. Skriv ut dette arket og legg det på et trygt sted.

Screenshot-2014-12-03-10.21.47

 

 Gratulerer! Facebook-kontoen din er nå svært mye sikrere.

24 kommentarer

  1. Fantastisk! Hadde gitt opp å få til dette for lenge siden hvis ikke jeg hadde hatt denne oppskriften. Småkomplisert for en utålmodig sjel å få stokka alt på riktig plass. Tok fem minutter. Takk! 🙂

    Svar på denne kommentaren

  2. Takker!
    Har etter deres andre artikkel om dette koblet både dropbox og google-konto til google authenticator – visste ikke at det gikk an for facebook og.

    Er ikke så glad i at Facebook skal ha tilgang til mitt telefonnummer, de har mer enn nok informasjon om brukere som det er. Har ikke noe å skjule, men prøver å unngå å oppgi telefonnummer om ikke det er nødvendig til slike firmaer.

    Digger nettserien!

    Svar på denne kommentaren

  3. «Gjette seg frem til mitt passord»???
    Det er ingen som kan gjette seg frem til et godt passord!!!!
    Denne påstanden om at hackere kan gjette seg til passord er mildt sagt latterlig.
    At dyktige hackere klarer å finne passord skyldes at de selvsagt bruker programvare/o.a.

    Facebook-sikerhet: Jeg er ingen ekspert, men kommer langt med sunt bondevett. Epost. adr. min på Facebook sier ingen ting om meg, og jeg opplyser heller ikke mobilnummeret mitt. Så trykker jeg ikke på alt mulig reklamedrit heller.

    Jeg har blitt forsøkt hacket, men der har Facebook selv hjulpet til med å stoppe det.

    Svar på denne kommentaren

  4. Hei,

    Dere kan rett og slett ikke begynne en artikkel med «NRK beta er opptatt av datasikkerhet». De fleste som vet bittelitt om datasikkerhet fra før av vet at dere prater tull.

    Dere som er så opptatt av sikkerhet har ikke klart å gi meg en oversikt over hvilke sites/domener jeg må tillate å kjøre javascript, for at NRK’s sider skal funke skikkelig. Uenig at javascript fra «galt» sted kan gå ut over sikkerheten?

    Det blir også nesten litt for dumt å snakke om facebook og datasikkerhet i samme artikkel. Facebook i seg selv er en trussel mot din datasikkerhet, så å sikre at andre ikke får logget seg på din facebook-konto har så godt som null og niks med din pc’s eller dine (person)datas sikkerhet å gjøre.

    Jeg håper og antar dere har skrevet et utall linjer og artikler om sikkerheten i alle facebook-applikasjonene? Dere går vel ikke ut i fra at de av leserne deres som synes denne artikkelen er hjelpsom, skal ha noe som helst begrep om hva som er facebook og ikke, når det kommer til «facebook-applikasjoner»?

    Datasikkerhet. Et vidtfavnende begrep.. Datamaskin-sikkerhet? PersonData-sikkerhet?
    Her har dere en artikkel der dere promoterer autentiserings-løsningen fra google, for å logge på facebook. De to værste selskapene i verden når det kommer til persondata. De legger milliarder av kroner i å finne ut mest mulig om sine brukere (ja, deg også), for å kunne pumpe ut mest mulig treffsikker reklame. Datasikkerhet…..

    Dette var flau lesning…

    Svar på denne kommentaren

    • Øyvind (svar til Pelle)

      Sikkert tusen andre ting de kunne skrevet om, men nå valgte de nå engang å skrive om sikker innlogging, som er et viktig tema for veldig mange.

    • Erlend (svar til Øyvind)

      Men hvordan vet facebook hvilken webbrowser du bruker?

      Forutsetter ikke det bruk av cookies som mulig gjør at facebook og google kan overvåke alt du gjør på nettet? Og linke det til deg… Og det er jo absolutt ikke sikkert.

      Hva skjer om du sletter cookiene på din maskin? Klarer facebook da å gjenkjenne webbrowser en din?

      Itillegg gir du fra det telefonnr ditt som gjør det mulig for facebook og tredje parter (som facebook selger informasjonen til) å samkjøre ulike allianser du har på ulike systemer(type nettbutikker og snapshat konter twiter etc).

      Burde ikke det relevante spørsmålet være om du overhode burde gi fra deg sensitiv informasjon til et firma som har som forretningide å spionere på deg for så å selge denne informasjon til høysbydende. Du har jo ingen kontroll over informasjon det samler om deg. De selger den til tredje part og tredje part selger den videre til 4 part.

    • Lars Norberg (svar til Erlend)

      Browseren forteller nettsiden hvilken browser det er, dette krever ikke cookies. Hva cookies brukes til er bare å huske browseren og plassen for å eventuelt slippe totrinnsinnlogging neste gang. Dette er valgfritt, og man blir informert om det.

      Man trenger heller ikke gi fra seg mobilnummeret sitt. Facebook-appen på mobile enheter som iphone og ipad inkluderer en kodegenerator som kan brukes.

  5. Hadde det bare vært mulig å sette opp 2FA uten å oppgi noe mobilnummer til Facebook… Dette er mulig med Google, GitHub og andre som støtter Google Authenticator (app på telefonen) som 2FA.

    Svar på denne kommentaren

    • Lars Norberg (svar til JohnE)

      Det ER mulig. Man kan bruke facebookappen på mobile enheter som iphone og ipad som kodegenerator. Har benyttet dette lenge selv, bruker aldri sms.

    • Kan du forklare hvordan det er mulig? Jeg ser det finnes en kodegenerator i appen, og man kan legge til Google Authenticator, men når man prøver å legge til krav om kode ved innlogging fra ukjente nettlesere får jeg følgende beskjed:

      «For us to text you security codes, you need to add your mobile phone to your Timeline.»

      Kommer ingen vei uten å oppgi mobilnummer.

  6. Ustabil og veldig irriterende.

    Brukte Facebook sin to-trinns verifisering en god stund, helt til jeg ikke fikk tilsendt noen koder på sms fra dem lenger. Etter noen dager fikk også fruen problemer med sms. Så var det å prøve å logge seg på fra diverse andre pcer, telefoner og nettbrett. Det eneste Facebook ville var å sende meg en verifiserings-SMS noe jeg aldri fikk. Så var det å sende mail til Facebook om problemet, noe som tok lang tid. Etter mange dager fikk jeg svar fra dem, og da skulle de ha kopi av både førerkort og bankkort eller pass. Mange dager går men får ikke noe svar. Plutselig kom det en verifiserings-sms tikkende inn. Det første jeg gjorde da var å deaktivere denne funsksjonen.

    Her har Facebook gjort en elendig jobb. Hvis de skal tilby en slik funksjon må den være stabil, samt at det må gå ann å bruke sikkerhetspørsmålet med svar hvis sms ikke fungerer, noe det ikke gikk å bruke.

    Styr unna folkens.

    Svar på denne kommentaren

    • Shit (svar til Thomas)

      Ja det er håpløst, dette sms kode tullet fungerer bare en liten stund. Også plutselig får man ikke tilsendt koder. Så jeg er nå utelåst fra min egen facebook konto, det er umulig å logge inn igjen. Tre uker har det vært slik nå, må nok bare glemme hele kontoen.

  7. Kjetil Endresen

    Jeg har brukt 2-trinns både på Facebook og Google det siste året (ish), men dette har en stor utfordring, nemlig at man gjør seg helt avhengig av telefonen.

    Det skjer for tiden svært ofte at jeg går tom for batteri om jeg bruker telefonen mye, og om jeg går tom for strøm, så kan jeg ikke lenger «bare» finne en datamaskin for å gjenoppta kommunikasjon med venner/bekjente via gtalk og facefook messenger. Da er jeg plutselig utilgjengelig.

    Jeg har ikke noe løsning på det enda (har ikke hatt tid til å se om det er alternative metoder å logge inn på), men noe for dere andre å være obs på uansett.

    Ellers er jeg uenig i de som mener at dette ikke er en god og viktig tjeneste. Den har fungert strålende for meg, og er et viktig for å bedre sikre persondata.

    Svar på denne kommentaren

    • Hei

      Jeg er enig med deg at to-trinnsverifisering er en viktig ting å bruke. Har selv brukt Google sin løsning i mange år uten problemer. Men Facebook har gjort en dårlig jobb med hvordan man kan logge på hvis f.eks sms-tjenesten deres ikke fungerer. Eller man rett og slett ikke har tilgang til telefonen (f.eks mistet den). Uten tilgang til denne sms’n fra Facebook er man utestengt fra kontoen. De burde hatt en alternativ måte å logge på hvis ting ikke fungerer, f.eks et «grid» dokument med koder. Etter problemene jeg og fruen hadde med påloggingen til Facebook i sommer, kommer jeg ikke til å bruke Facebook sin totrinnsverifisering. Håper du ikke får det samme problemet jeg fikk 🙂

    • Lasse G. Dahl (svar til Kjetil Endresen)

      Skjønner godt hva du snakker om, Kjetil. På Google er det enkelt å skrive ut et ark med engangskoder, og i følge punkt 11 over her, skal det la seg gjøre på Facebook, også.

  8. Hadde det ikke vært greit om vi fikk bankID? Det er mye utvikling av identifisering på nett, regner med at det ikke er så lenge før noen smarte hoder løser dette innloggingsstyret med lange passord alle steder, i stedet for å ha én måte, f.eks. bankID, til å sikkert identifisere seg selv flere steder.

    Svar på denne kommentaren

  9. Oj! Nå kan jeg være flere ulike personer i nettleseren min

    […] I ordentlig gamle dager måtte vi logge ut av egen konto for å kunne gå inn som NRKbeta, og da satt man plutselig der og sendte mail fra feil adresse. De siste årene har vi kunnet sjonglere dette ved å åpne et inkognito-vindu i nettleseren, og så logge inn på NRKbetas kontoer der. Det kjedelige med det, er at man må skrive masse passord; vi bruker jo totrinns-autentisering. […]

    Svar på denne kommentaren

  10. Slik sikrer du Google-kontoen din

    […] Vi har tidligere skrevet om hvordan totrinns-autentisering fungerer i artikelen «Two is One. One is None«, og hvordan du setter opp dette for Facebook-kontoen din. […]

    Svar på denne kommentaren

Legg igjen en kommentar til Thomas Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.