Google har i mange år tilbudt brukerne muligheten til å skru på tofaktorautentisering (2FA), også blant annet kalt for totrinnsverifisering (2SV – two step verification) eller totrinnsbekreftelse. På tampen av fjoråret gjorde selskapet likevel noe nytt, da det automatisk skrudde på dette ekstra sikkerhetslaget for mer enn 150 millioner brukere. I tillegg innførte Google et krav om at mer enn to millioner innholdsskapere på Youtube også måtte 2FA aktivert.
Nå har Google skrevet litt om erfaringene med dette så langt. Det tydeligste resultatet er at selskapet har sett en halvering i mengden av kontoer som blir kompromittert hos disse brukerne.
Inngangsport til mye annet
Dersom 2FA ikke er aktivert, er det tilstrekkelig å kjenne til brukernavn/e-postadresse og passord for å kunne logge seg inn på noen andres konto. Med 2FA på plass kreves det en ekstra bekreftelse som en angriper må gjøre betydelig mer innsats for å få tak i.
– Denne nedgangen sier tydelig hvor effektivt det er å ha en sekundær form for verifisering som kan beskytte dine data og personlige informasjon, skriver Google i blogginnlegget.
E-postkontoer som Gmail er ofte ekstra interessante for angripere fordi tilgang til disse ofte er leddet som skal til for å få tilgang til kontoer som brukeren har i andre tjenester, slik som sosiale medier, nettbutikker og mye annet.
Googles 2FA-støtte er tilgjengelig i en rekke ulike varianter, fra engangskode på SMS til bruk av fysiske sikkerhetsnøkler. Alle variantene er mye sikrere enn det å ikke ha skrudd på 2FA. Men variantene som krever tilgang til en bestemt, fysisk enhet er langt sikrere enn koder som sendes over forbindelser som kan avlyttes. I alle fall dersom den fysiske enheten også er sikret mot uønsket bruk, for eksempel med passord eller biometri.