Viktigheten av innlogging med to eller flere verifiseringstrinn ved innlogging på internett-baserte tjenester har virkelig kommet i søkelyset med den senere tids passordtyverier. Dersom man ved innlogging blir avkrevd en engangs bekreftelseskode i tillegg til passordet, er risikoen for innbrudd betydelig redusert. De siste årene har derfor stadig flere tjenester kommet med et slikt tilbud – som det i mange tilfeller er frivillig å aktivere.
Google har tilbudt dette siden 2011, men senest for noen uker siden fikk undertegnede og mange andre tilsendt spam-meldinger fra en bekjents Gmail-konto. Vedkommende hadde ikke aktivert to-trinns verifisering og passordet han benyttet, var nok blitt brukt også andre steder. Vedkommende var rask med å bytte passord og å aktivere to-trinns verifisering da skaden først hadde skjedd.
Til nå har Googles to-trinns verifisering vært basert på at man mottar en engangskode via SMS eller en egen mobilapp. Nå har selskapet implementert støtte for en alternativ løsning, nemlig en fysisk sikkerhetsnøkkel.
I praksis dette en liten USB-enhet som er basert på Universal 2nd Factor-protokollen (U2F) til FIDO Alliance, som har en rekke medlemmer.
Det som er fordelen med sikkerhetsnøkkelen, sammenlignet med engangskodene, er at den skal være langt vanskeligere å utnytte gjennom et phishingangrep. Engangskodene kan bli fanget opp av uvedkommende dersom brukeren blir lokket til å oppgi koden på et falskt nettsted. Sikkerhetsnøkkelen bruker en kryptografisk løsning i stedet for engangskoder. Den erstatter så langt ikke passordet.
Det hele forutsetter dog at man benytter en enhet som USB-nøkkelen kan settes inn, og at innloggingen skjer med Chrome 38 eller nyere for Windows, OS X og Linux. Så langt støttes ikke løsningen med andre nettlesere eller når man ikke har sikkerhetsnøkkelen tilgjengelig. Men man kan hos Google bruke bekreftelseskoder som en reserveløsning selv om man velger la sikkerhetsnøkkelen være den primære løsningen.
Det er flere slike sikkerhetsnøkler tilgjengelige på markedet. Man bør se etter at de er merket med en FIDO-logo som forteller at den støtter U2F. En komplett oversikt finnes her (se kolonnen U2F Authenticator).
Flere av leverandørene av slike sikkerhetsnøkler har egne nettbutikker og selger nøklene direkte til kunder i en rekke land.
Det eneste produktet vi så langt har funnet på det norske markedet som kan ha U2F-støtte, er Yubikey Neo Nfc fra svenske Yubico som selges av Dustin. Men det er først med versjon 3.3 av fastvaren at Neo-produktene fikk U2F-støtte. Eldre produkter kan ikke oppgraderes.
Les også:
- [16.12.2013] Også Microsoft vil bli kvitt passordene
- [14.05.2013] Skal stramme inn innloggingen
- [11.02.2011] Google forbedrer kontosikkerheten