Totrinnsverifisering (2FA) er en relativt veldokumentert måte å heve sikkerheten på i forbindelse med de evinnelige påloggingene enhver nettbruker opplever til daglig. Google er en ivrig pådriver for løsningen, og nå akter selskapet å gjøre seg «ferdig» med jobben.
På sin offisielle blogg kunngjør Google at de skal skru på totrinnsverifisering som standard for et anselig antall brukere – 150 millioner for å være presis.
Nå skal Google skru på totrinnsverifisering som standard
Skal skje i år
Den automatiske innrulleringen skal skje innen utgangen av inneværende år, opplyser Google. I tillegg skal selskapet også kreve at totrinnsverifisering slås på for to millioner innholdsskapere på YouTube.
Til tross for den knallharde satsingen på 2FA innrømmer Google imidlertid at 2FA ikke nødvendig omfavnes av alle brukere.
– Vi erkjenner også at dagens 2FA-alternativer ikke passer for alle, så vi arbeider med teknologier som gir en bekvem, sikker autentiseringsopplevelse og reduserer avhengigheten av passord i det lange løp, skriver Google uten å spesifisere.
Googles arbeid med å innrullere brukere i 2FA startet i mai i år, da selskapet benyttet verdens passorddag til å kunngjøre at de skulle aktivere totrinnsverifisering som standard for alle brukere. Det er dette arbeidet som altså nå skal fullføres.
Googles totrinnsverifisering fungerer ved å bruke mobilen som et ekstra sikkerhetslag gjennom et enkelt trykk på et varslingsvindu på skjermen etter at man har skrevet inn passordet, en funksjon man hittil har måttet skru på manuelt.
Bedre enn SMS
Det var i fjor sommer at Google gjorde den mobilbaserte ettrykks-verifiseringen, eller «on device prompt» som løsningen kalles på originalspråket, til den primære 2FA-metoden for alle brukere som ikke allerede bruker fysiske sikkerhetsnøkler.
Løsningen ble introdusert som et alternativ til engangskoder sendt over SMS. Ifølge en undersøkelse Google gjennomførte i samarbeid med sikkerhetsforskere, er den SMS-baserte løsningen mindre sikker på grunn av faren for at uvedkommende kan avskjære meldingene – noe Microsoft også har advart om (krever abonnement).
Den sikreste løsningen ifølge undersøkelsen er likevel fysiske sikkerhetsnøkler, noe Google også tilbyr gjennom en løsning som innebærer å bruke Android-mobilen din som sikkerhetsnøkkel.
Selskapet anbefaler ellers sterkt sikkerhetsnøkler basert på FIDO-standarden, som for eksempel Googles egen Titan Security Key.
Gir Fido2-nøkler til alle ansatte – som første kommune i Norge