– Et passord gir ikke tilstrekkelig sikkerhet!
Dette har vært gjennomgangstonen de siste årene i rådene fra sikkerhetseksperter. Derfor kan du ikke logge deg på nettbanken med bare brukernavn/fødselsnummer og passord. Du må også benytte en sekundær autentiseringsmekanisme, for eksempel en kodebrikke, kode tilsendt per SMS eller et smartkort. Slik er det også hos blant annet Altinn.
Men det er ikke bare nettbanken og Altinn som oppbevarer privat og potensielt sensitiv informasjon. Mange lagrer også mye informasjon i privateide tjenester fra private leverandører. For å hindre uautorisert tilgang til informasjonen, støtter også mange av disse leverandørene brukerverifisering med to faktorer. Google og Facebook er blant disse. Men svært ofte må brukeren selv aktivere denne funksjonaliteten. Apple lanserte denne muligheten for Apple ID i mars.
Også Microsoft har tilbudt en slik løsning en tid, men kun i forbindelse med visse aktiviteter. Eksempler på dette har vært ved endring av kredittkort- og abonnementsinformasjon på nettstedene commerce.microsoft.com og xbox.com, samt ved visse typer filaksess på SkyDrive.com.
I går kunngjorde Microsoft at selskapet nå innfører frivillig to-faktors verifisering for hele Microsoft-kontoen til brukerne. Dette valget skal bli rullet ut til brukerne i dagene som kommer.
Etter at man har aktivert to-trinn verifisering hos Microsoft, vil man i de fleste tilfeller måtte oppgi en ekstra kode i tillegg til passordet. Denne koden kan man i hvert enkelt tilfelle motta via for eksempel e-post eller SMS.
En bedre løsning for mange er det likevel å benytte en egen autentiseringsapplikasjon for smartmobiler eller nettbrett, dersom man har dette. Microsoft tilbyr nå en slik autentiseringsapplikasjon til Windows Phone. Selskapet skal ikke tilby noe tilsvarende til Android og iOS, men det er da heller ikke nødvendig. Fordi autentiseringsløsningen er basert på en standard, RFC 6238, som er den samme som blant annet Google bruker i sitt system, kan i alle fall Google Authenticator-appen, som er tilgjengelig for både Android og iOS, benyttes også sammen med Microsoft-kontoen.
Det er også slik at Microsofts Authenticator-app for Windows Phone kan benyttes sammen med for eksempel Google-kontoer og Dropbox.
Applikasjonen genererer nye koder (seks siffer) med noen titalls sekunders mellomrom. Som bruker må rekke å skrive inn koden i tjenesten eller applikasjonen man vil logge seg inn i, før det blir generert en ny kode. Det kan derfor være lurt å vente med å skrive inn koden til en ny nettopp har blitt generert. Da har man litt bedre tid på seg. Autentiserings-applikasjonene er ikke avhengig av nettilgang.
Kodene fra applikasjonen vil normalt kunne benyttes i tjenester som tilbys via nettleseren og i andre applikasjoner som har innebygd støtte for dette. Men langt fra alle tredjeparts applikasjoner som støtter Microsoft-kontoer, har allerede støtte for to-faktor autentisering. I disse tilfellene må man i stedet benytte applikasjonsspesifikke passord – altså et passord som kun brukes av denne ene applikasjonen. Disse passordene kan man få generert på kontosidene til Microsoft. Så lenge applikasjonen har mulighet til å «huske» passordet, behøver aldri brukeren å huske det. Det skal benyttes kun i denne ene applikasjonen på denne ene enheten. Denne løsningen er så tilsynelatende identisk med hvordan Google har løst det samme problemet.
Nå er det ikke slik at man med den sekundære sikkerhetskoden må taste inn denne hver eneste gang man skal inn på Microsoft-kontoen. Dersom man benytter en pc eller annen enhet som andre normalt ikke har tilgang til, kan man velge at det holder å oppgi passord i den aktuelle applikasjonen på nettopp denne enheten.
Les også:
- [11.02.2014] Office 365 har blitt sikrere
- [04.09.2013] Sikrere tilgang til programvareprosjekter
- [23.05.2013] Twitter innfører sikrere innlogging
- [14.05.2013] Skal stramme inn innloggingen