Digitale angrep i hopetall og overraskende avsløringer av svakheter i digitale systemer vi tidligere har ansett som sikre, har i den siste tiden preget teknologiverden.
De fleste av skytjenestene vi bruker i det daglige er nemlig kun beskyttet med et enkelt passord som er lagre hos den ekstern leverandøren som eier systemet. Denne formen for autentisering utgjør i utgangspunktet en relativt solid sikkerhetsrisiko for den enkelte av oss.
Kombinert med den jevne brukers uvitenhet og dårlige dømmekraft, er mange rett og slett svært dårlig sikret mot digitalt tjuveri, selv i det herrens år 2014.
Men finnes det en enkel og solid måte å beskytte seg bedre på i det daglige?
Kan vi lære noe av fjellklatring?
Til tross for stigende alder og en kropp som vel ikke lengre omtales som en «klatrekropp», er det altså slik at jeg i min ungdom var en relativt aktiv klatrer.
Jeg lærte mye av å klatre på alt fra små steiner til store fjellvegger. Lærdom som jeg har tatt med meg videre i livet, og til stadighet trekker opp av visdomssekken.
En av de enkleste, men likevel viktigste prinsippene jeg lærte som klatrer, var den litt klisjeaktige setningen: «Two is One. One is None«.
Én sikring i fjellet er å regne som ingenting. To sikringer er å regne som én sikker sikring.
Les også: Hva er Heartbleed?
Dette banale, men svært effektive tankesettet, rundt sikkerhet kan vi selvsagt også overføre til våre digitale liv.
Sikrer du en digital konto med kun én sikring har du i praksis ingen sikkerhet og står i fare for at uvedkommende får tilgang til kontoen. Sikrer du den med to, har du enda et lag av sikkerhet som kan ta «fallet» ditt. Som man vel ville sagt på klatrespråket.
Multi-faktor autentisering
Digital sikring på denne måten kan samles under begrepet «multi-faktor autentisering», eller mest kjent på engelsk som «two-step verification».
Ved å i tillegg til å ha et passord på de ulike kontoene du bruker, har en annen «sikker enhet» du kan motta en kode til, styrkes sikkerheten din betraktelig.
Du har altså et lag av sikkerhet i kraft av at du vet noe hemmelig (passord) og enda et lag av sikkerhet i kraft av at du eier en «sikker enhet» som kan generere en kode for deg.
Image may be NSFW.
Clik here to view.
En slik «sikker enhet» er i dag ofte en mobiltelefon eller en egen kodebrikke slik mange banker utstyrer kundene sine med.
Man kan også si at en minibank opererer etter det samme prinsippet, hvor man både må ha et kort og en kode for å få ut penger. For å se litt prinsipielt på det.
Google – et eksempel
Teorien kan kanskje høres litt komplisert og klønete ut, men i praksis er det ikke så ille som det høres ut som. La oss se på et eksempel.
Image may be NSFW.
Clik here to view.
Svært mange i Norge har en Google-konto, eller en GMail-konto, som vel er den delen av Google-kontoen de fleste har et forhold til. Får noen tak i passordet til din GMail-konto har de i praksis full tilgang til all din mail-korrespondanse, og du skal være i overkant årvåken for å oppdage at noen faktisk har denne tilgangen.
Google, som var svært tidlig ute med en slik løsning på nett og har vært en av pådriverne for «two-step verification», har laget et system som både er sikkert og som også er relativt smertefritt å bruke.
Image may be NSFW.
Clik here to view.
Ved å aktivere «Google 2-step verification» på din konto må du i tillegg til å skrive inn passordet ditt for å få tilgang til kontoen din, også inn med en unik kode.
Denne unike koden kan du få som SMS til telefonen din, eller via Googles egen mobilapplikasjon Google Authenticator app.
Blir det ikke for mye «stress»?
Noe av det som gjør at mange kanskje holder igjen på å skru på two-step verification på sine kontoer, er at det fortoner seg som relativt masete. Det trodde vi i NRKbeta-redaksjonen også ved første øyekast.
Du bestemmer imidlertid selv om du skal bruke koden hver gang du logger inn fra en maskin/nettleser, eller om du vil betrakte maskinen som «sikker» etter at du har logget inn første gang, og dermed la two-step verfication være noe du kun gjør hver gang du setter opp en ny maskin/enhet.
Mister du denne maskinen, lar det seg fint gjøre å «trekke» tilbake godkjenningen du har gitt den, slik den som eventuelt vil misbruke maskinen din fortsatt blir nødt til å skrive inn en engangskode for å få de ulike kontoene til å fungere.
En slags standard
Flere av tjenesten som i dag støtter two-step verification lar deg bruke hvilket som helst kode-generator så lenge den støtter «Time-based One-Time Password (TOTP)«- protokollen.
Her finnes det flere å velge i til de fleste plattformer og operativsystemer:
- Google Authenticator (Android/iPhone/BlackBerry)
- Duo Mobile (Android/iPhone)
- Amazon AWS MFA (Android)
- Authenticator (Windows Phone 7)
På denne måten trenger du kun en app på telefonen din, som sørger for å generere koder til flere ulike tjenester.
Tjenester som støtter Two-Step
Lista over tjenester som støtter two-step verification er lang, og den vokser stadig. De fleste av de mest utsatte tjenestene som Apple, Google, Facebook, PayPal, DropBox, LinkedIn, WordPress og Microsoft støtter i dag allerede teknologien.
Den komplette lista over hvilke tjenester du kan bruke two-step verification på finner du hos Wikipedia.
Du finner muligheten for å skru på two-step verification hos de fleste av tjenestene under «Innstillinger > Sikkerhet > Two-Step verfification». Eller noe som ligner.
Bruker du two-step verification? I så fall hvorfor eller hvorfor ikke?
Clik here to view.
Clik here to view.
Clik here to view.
Clik here to view.
Clik here to view.