Fire gængse typer to-faktor-godkendelse

 In It-sikkerhed

Da staten pålagde hele landet at bruge NemID, lærte vi alle meget hurtigt, hvad to-faktor-godkendelse er for en størrelse. Vi lærte også, at selv om folk gættede vores kodeord, ville de aldrig få adgang, uden at have et papkortet i hånden. Det er to-faktor-godkendelse i en nøddeskal.

Udover at anmode om noget man kender (i dette tilfælde dit kodeord), så vil en to-faktor beskyttet konto også anmode om information fra noget du har (papkort eller kode fra mobilen).

Teknologien har eksisteret længe – lige fra pap til nøglering til app. Vi har tidligere skrevet om formålet med at bruge to-faktor-godkendelse.

Fire gængse typer to-faktor godkendelse

SMS to-faktor-godkendelse (SMS 2FA)

For at aktivere SMS to-faktor godkendelse på en side, skal man opgive sit telefonnummer. Næste gang man logger ind med brugernavn og kodeord, får man en anmodning om at indtaste den engangskode, som modtages per SMS. Denne løsning er populær, fordi den ikke kræver installation af en app, og tilføjer en vis sikkerhed.

Ulempen er dog, at nogen ikke synes om at opgive deres mobilnummer til en given hjemmeside eller platform. Det er faktisk forståeligt nok, fordi det kan identificere, hvem man er. Desværre udnytter nogle hjemmesider også muligheden for at bruge mobilnummeret til andre formål en to-faktor godkendelse. Det betyder også, at hackere som overtager telefonnumre vil kunne få adgang til en konto uden at kende kodeordet. Desuden kræver SMS 2FA, at enheden har strøm og er tilkoblet et mobilnetværk.

App-baseret to-faktor-godkendelse (TOTP 2FA)

TOTP 2FA eller Time-Based One Time Password er endnu en app-baseret løsning, som genererer koder lokalt – baseret på en sikkerhedsnøgle. Et godt eksempel på sådan en app er Google Authenticator.

Hvis en hjemmeside benytter TOTP 2FA, vises sikkerhedsnøglen som en QR-kode, der skal scannes ind i appen. Har man flere enheder, kan man scanne den flere gange. Når QR-koden er scannet, vil appen producere 6-cifrede koder hvert 30. sekund. Ligesom ved SMS 2FA skal man så indtaste koden udover det normale login.

Tidsbaserede engangskodeord igennem en app kan være en fordel, fordi sikkerhedsnøglen lagres fysisk på mobilen, men også fordi den ofte kan bruges uden internetadgang. Så selv hvis mobilnummeret omdirigeres, kan man ikke få adgang til to-faktor koderne. Men, bliver enheden stjålet og man ikke har en backup af den originale QR-kode, så risikerer man at miste adgang til kontoen.

TIP 1: for ekstra backup, kan man med fordel tage et screenshot af QR-koden eller printe den. Vær dog opmærksom på, at det stadig er vigtigt at beskytte fysisk data.
TIP 2: Brug SMS 2FA som din backup to-faktor løsning.

 

E-mail baseret godkendelse

Andre sider bruger e-mail baseret autentifikation. På samme måde som SMS 2FA, får man tilsendt en engangskode til sin e-mail, hver gang man logger ind fra en ny enhed. Det sikrer, at angreb udefra kræver adgang til både login og e-mail konto for at få adgang til en hjemmesidekonto.

Dog skal man være opmærksom på, at denne form for to-faktor godkendelse nemt kan gennemskues af en hacker – især hvis man ikke har to-faktor godkendelse på sin e-mail konto. Undgå derfor at bruge metoden, hvis der findes andre stærkere muligheder, f.eks. en app-baseret autentifikation.

Fysisk sikkerhedsnøgle (FIDO U2F)

Man ser den ikke så tit, men den eksisterer. U2F eller Universal Second Factor er en fysisk nøgle som sættes i en USB port. Først registreres sikkerhedsnøglen på den valgte side. Næste gang man logger in, vil siden så anmode om at tilkoble nøglen og godkende login. Man skal altså ikke bruge koder som ved SMS eller TOPT 2FA.

Sikkerhedsmæssigt kan en fysisk sikkerhedsnøgle være at foretrække, fordi dine forskellige konti derved er sværere at kompromittere udefra (f.eks. via phishing).

Uanset hvilken løsning man vælger, så er det altid en god idé at have en hard-copy backup, så man ikke risikerer at blive logget ud af egne konti, når man har mest brug for dem. Selvom to-faktor godkendelse er en smart måde at optimere it-sikkerheden, så fikser det ikke et svagt kodeord. Derfor er det stadig vigtigt at prioritere et stærkt og unikt kodeord.

Det var fire af de gængse to-faktormetoder, men der findes mange flere; bl.a. push-baseret autentifikation, gendannelseskoder og biometrisk id (fingeraftryk). Se her en oversigt over hvilke store webtjenester, som understøtter to-faktor godkendelse.

Var disse oplysninger nyttige?

Seneste indlæg