Mange tjenester på nettet støtter i dag innlogging med to-trinns bekreftelse, noe som betyr at det ikke er nok å kjenne brukernavnet og passord til brukeren for å logge på. Man må også ha tilgang til en sekundær verifiseringsfaktor, for eksempel brukerens mobil.
Med de mange passordlekkasjene som har vært de siste årene, samtidig som at mange bruker det samme passordet flere steder, er det tydelig at et passord alene ikke gir tilstrekkelig beskyttelse mot at uvedkommende får tilgang til brukerkontoen.
- Et ferskt eksempel: 427 millioner brukerpassord har blitt lekket
Tungvint
Men det å måtte taste inn en ekstra engangskode kan oppleves som tungvint for mange. Kanskje så tungvint at de unnlater å benytte muligheten. Brukervennlighet og sikkerhet er som kjent motsetninger, hvor det ene nesten alltid vil gå utover det andre.
Google var tidlig ute med å tilby to-trinn bekreftelse og tilbyr flere varianter av dette, inkludert bruk av SMS-koder, en kode fra en egen autentiseringapp eller tilgang til en fysisk FIDO U2F-basert sikkerhetsnøkkel.
Denne uken kom selskapet med den enkleste metoden av alle, nemlig en dialogboks som automatisk dukker opp på brukerens mobil når brukeren forsøker å logge seg inn med sin egen Google-konto med en ikke-gjenkjent enhet eller nettleser. I denne dialogboksen kan bruken bekrefte eller avvise innloggingsforsøket.
Sentralt i to-faktor autentisering er at man bruker både noe brukeren kan (passordet, pin-kode, etc.) og noe brukeren enten har (sikkerhetsnøkkel, smartmobil) eller noe som (i teorien) er uatskillelig fra bruken (fingeravtrykk, irismønster, stemme, ansikt).
- Flere alternativer: Logg inn på Google med USB-pinne
Like sikkert?
Man kan kanskje lure på om sikkerheten blir svekket ved at et trykk på mobilskjermen kan brukes istedenfor sikkerhetskoder fra SMS eller autentiseringsappen. Kanskje. Men så lenge personen har full tilgang til smartmobilen, er det ikke mye vanskeligere å lese sikkerhetskodene som mottas, enn det er å godkjenne innloggingen med et trykk på skjermen. Men det sistnevnte kan gjøres betydelig raskere.
Det kreves etter alt å dømme at en skjermlås er aktivert på enheten for å bruke denne nye verifiseringsmetoden.
Den nye innloggingsmetoden fungerer på Android-enheter med den nyeste versjonen av Google Play Services, som rulles ut denne uken, men også på iOS-enheter med søkeappen til Google installert.
Aktivering av den nye verifiseringsmetoden som på norsk kalles for «Forespørsel fra Google», samt to-trinns verifisering generelt, kan gjøres på denne siden.
- Les også: Microsoft forbyr mye brukte passord
