6. mai er verdens passorddag, og mange aktører benyttet dagen til å minne brukere om viktigheten av sterke passord og andre tips. Google har også gitt sitt bidrag, i form av en ny praksis de håper skal heve sikkerheten.
På sin offisielle blogg opplyser Google at de skal gjøre totrinnsverifisering, som de allerede har tilbudt til brukere på frivillig basis i lang tid, til en enda mer fremtredende løsning i tiden fremover.
Gjøres til standard
Snart skal Google nemlig aktivere totrinnsverifisering som standard for alle brukere, dersom man har konfigurert kontoen sin riktig. Ifølge Google skal man kunne finne ut om kontoen er korrekt via sikkerhetssjekken på kontoen, men det er ikke helt klart hva dette innebærer.
Googles totrinnsverifisering fungerer ved å bruke mobilen som et ekstra sikkerhetslag gjennom et enkelt trykk på et varslingsvindu på skjermen etter at man har skrevet inn passordet, en funksjon man hittil har måttet skru på manuelt.
Innrulleringen vil altså heretter skje automatisk, men man kan fremdeles velge det bort om man ønsker.
Det var i fjor sommer at Google gjorde den mobilbaserte ettrykks-verifiseringen, eller «on device prompt» som løsningen kalles på originalspråket, til den primære 2FA-metoden for alle brukere som ikke allerede bruker fysiske sikkerhetsnøkler.
Fysiske sikkerhetsnøkler sikrest
Løsningen ble introdusert som et alternativ til engangskoder sendt over SMS. Ifølge en undersøkelse Google gjennomførte i samarbeid med sikkerhetsforskere, er den SMS-baserte løsningen mindre sikker på grunn av faren for at uvedkommende kan avskjære meldingene – noe Microsoft også har advart om (krever abonnement).
Den sikreste løsningen ifølge undersøkelsen er likevel fysiske sikkerhetsnøkler, noe Google også tilbyr gjennom en løsning som innebærer å bruke Android-mobilen din som sikkerhetsnøkkel.
Selskapet anbefaler ellers sterkt sikkerhetsnøkler basert på FIDO-standarden, som for eksempel Googles egen Titan Security Key.
Microsoft: – Ikke bruk SMS-basert totrinnsverifisering