To-faktor autentisering ved innlogging på en Google-konto. Dette vil etter alt å dømme bli obligatorisk for alle Google-brukerne i løpet av de neste fem årene. (Bilde: digi.no)

Skal stramme inn innloggingen

Google planlegger å gjøre to-faktor autentisering obligatorisk.

Google la i forrige uke fram et utkast til en ny femårsplan for sterk autentisering, nærmere bestemt for hva som skal kreves for at noen skal få tilgang til en kundes Google-konto. Den forrige planen kom i 2008.

Et viktig skritt på veien har vært den frivillige ordningen med to-faktor autentisering, hvor brukeren i mange tilfeller vil måtte bruke både et passord og en engangskode for å komme inn på kontoen. Dette kan øke sikkerheten betraktelig framfor et passord alene, spesielt dersom brukeren det samme passordet flere steder.

Flere andre aktører, som Apple og Microsoft, har også innført en slik autentisering. Men i likhet med Google har de gjort dette frivillig å bruke.

Noe av årsaken til at Google har innførte dette som en frivillig ordning, i stedet for en obligatorisk, var at man måtte ha tilgang til et mobilnett for å kunne motta engangskoden per SMS. Nå finnes det applikasjoner til flere plattformer som kan levere slike tidsbegrensede engangskoder uten at mobilen eller nettbretter er tilkoblet noe nett.

– Men vi planlegger nå å rulle ut en endring til innloggingssystemet hvor vi vil bli mye mer aggressive. Brukerne som ikke har aktivert vår strenge to-faktor-innlogging, vil bli bedt om å gjennomføre en to-faktor utfordring («challenge») ved nesten alle innlogginger, heter det i utkastet. Det vil også kunne kreves nye utfordringer dersom brukeren ønsker å gjøre noe som anses som risikabel aktivitet.

Utkastet ble presentert under Internet Identity Workshop-konferansen som ble arrangert i Montain View, California, i forrige uke. Grunntanken er oppsett, ikke innlogging.

– Vi vil endre innloggingen til en én-gang-per-enhet-handling og øke friksjonen, ikke redusere friksjonen, for alle brukere. Vi har ikke noe imot å gjøre det vanskelige for brukerne å logge seg inn på enhetene sine så lenge de bare trenger å gjøre det én eneste gang, sa Eric Sachs, gruppeleder for Googles identitetsprodukter, ifølge ZDNet.

Utkastet til femårsplanen tar også for seg andre områder. Blant annet stiller Google seg bak TLS ChannelID, en foreslått, åpen standard som skal sikre at nettlesercookies ikke kan flyttes til en annen enhet enn den opprinnelige. ChannelID støttes allerede av Chrome og gjør det mulig for en server å se at en ny HTPPS-økt stammer fra den samme klienten som en tidligere økt.

Maskinvare er også en viktig forutsetning i Google femårsplan. Selskapet har ingen kontroll over hva andre aktører kommer til å tilby. Samarbeid og fleksibilitet er derfor løsningene, og dette skjer i en organisasjon som heter FIDO Alliance (Fast IDentity Online). Denne organisasjonen ble etablert i fjor sommer, men ble først offentliggjort i februar i år. PayPal, Infineon og Lenovo var blant aktørene som var med fra starten. Google kom i april.

FIDO kombinerer maskinvare, programvare og Internett-tjenester for å kunne tilby en sikker brukeropplevelse.
FIDO kombinerer maskinvare, programvare og Internett-tjenester for å kunne tilby en sikker brukeropplevelse. Bilde: FIDO Alliance

Målet til FIDO er å akselerere bruken av åpen teknologi for å fortrenge passord med det organisasjonen kaller Universal Strong Authentication. Spesifikasjonene vil støtte en rekke ulike autentiseringsteknologier, inkludert biometriske som fingeravtrykklesere, Trusted Platform Modules (TPM), Near Field Communication (NFC), engangspassord og USB Security Tokens, altså autentisering ved hjelp av en spesiell USB-pinne.

I planen, som er skrevet av Sachs, innrømmes det at konto-gjenopprettingen er akilleshælen i Googles autentiseringsordning, fordi dette ofte krever manuelt arbeid fra selskapets side, noe som driver kostnadene i været. Dette gjelder spesielt dersom brukeren ikke bare mister tilgangen til kontoen, men også til andre faktorer som kan brukes til å autentisere dem, for eksempel telefonen eller datamaskinen de vanligvis bruker.

    Les også:

Til toppen