To-faktor autentisering, også blant annet kalt to-trinns innlogging eller multifaktor bekreftelse, innebærer at det ikke er nok med brukernavnet og passordet for å logge seg på en konto. Innloggingen må bekreftes på minst én måte til.
Det vanligste er å be brukeren taste inn en engangskode som brukeren har fått oppgitt via SMS, en sekundær epostadresse eller en oppringt telefonsamtale. Andre metoder krever i større grad tilgang til en helt spesifikk enhet, som er knyttet til den aktuelle kontoen ved hjelp av en app eller innebygd funksjonalitet.
Uansett metode som velges, er dette sikrere enn ikke å bruke to-faktor autentisering. Men det er også stor forskjell på hvor godt de ulike metodene beskytter mot ulike forsøk på kontokapring.
350.000 virkelige angrep
Nylig kom Google med et blogginnlegg og en tilhørende rapport hvor selskapet og forskere ved New York University har studert effekten av mer enn 350.000 virkelige kapringsforsøk som har blitt utført av automatiserte boter, ved hjelp av omfattende phishing og gjennom rettede angrep.
I rapporten skilles det mellom kunnskapsbaserte utfordringer og enhetsbaserte utfordringer, hvor en utfordring i denne sammenheng kan være et engangspassord eller tilgangen på til en gitt enhet.
Kunnskapsbaserte utfordringer er knyttet til noe brukeren vet, for eksempel på hvilket sted brukeren var da vedkommende sist logget seg inn på kontoen, eller innloggingsinformasjonen til en sekundær epostkonto.
Enhetsbasert er mest effektivt
Undersøkelsen viser at sikkerheten er langt høyere ved bruk av enhetsbaserte utfordringer, sammenlignet med de kunnskapsbaserte. Forskjellen er vanligvis neglisjerbar ved automatiserte innloggingsforsøk. Men så snart brukeren selv må oppgi noe, slik som med phishing, økes suksessraten betraktelig.
Selv ved å bruke engangskoder sendt via SMS, noe som ikke regnes som den beste løsningen fordi SMS potensielt kan avlyttes, forhindres 96 prosent av de ikke-rettede phishingangrepene og 76 prosent av de rettede.
Bekreft på mobilen
Enda mer effektivt er to-faktor autentisering som bare krever at brukere svarer ja eller nei i en dialogboks som vises på skjermen til brukerens mobil. Da økes beskyttelsen mot ikke-rettede phishingangrep og rettede angrep til henholdsvis 99 og 90 prosent. Noe av årsaken er at det ikke er noen engangskode som kan komme på avveie.
_logo.svg.png){kind=logo}
Aller sikrest er det likevel å bruke en fysisk sikkerhetsnøkkel. Ifølge tallene i undersøkelsen beskytter denne 100 prosent mot alle de tre angrepsformene.
Tiltrodde enheter
Det er likevel ikke slik at brukerne blir møtt med en utfordring hver gang de logger seg inn på kontoen. Det er fullt mulig å oppgi at en klient skal anses som tiltrodd, noe som innebærer at brukeren alltid er innlogget. Denne klienten kan for eksempel være en smartmobil eller en nettleser på en PC.
Selv om dette nok kan redusere sikkerheten noe, dersom uvedkommende får full tilgang til den, så innebærer dette også en viss trygghet. Årsaken er at brukere rett som det er mangler tilgang til mobilen eller ikke husker epostadressen som engangskoden sendes til.
Da vil det alltid være mulig å gå til en tiltrodd enhet og få tilgang til kontoen der.
Google-brukere anbefales å utføre denne enkle sikkerhetssjekken, for å se om det er forhold ved kontosikkerheten som bør forbedres.
Rettede angrep
Det er de automatiserte og massedistribuerte angrepene de aller, aller fleste risikerer å bli utsatt for. Rettede vil langt færre oppleve.
– Vi estimerer at bare én blant en million brukere møter denne risikoen. Angripere retter seg ikke mot vilkårlige individer, skriver Google.
Angrepene gjøres ofte ved at angriperen utgir seg for å være for eksempel en kollega, et familiemedlem, en representant for offentlige myndigheter eller for Google.
Google opplyser at selskapet har observert kriminelle grupper som tilbyr innbrudd i enkeltkontoer for rundt 750 dollar. Dette gjøres gjennom gjentatte, rettede phishingforsøk som kan være i opptil en måned, dersom målet ikke lar seg narre med en gang.
Les også: To-faktor autentisering med engangskoder kan relativt enkelt omgås av angripere
