Google var blant de første av de store teknologiselskapene som kom med støtte for tofaktor autentisering (2FA), eller totrinnsbekreftelse, av innloggingen på selskapets tjenester. Dette skjedde i 2011 , noe som riktignok var lenge etter at det samme ble tatt i bruk av for eksempel norske nettbanker. Googles 2FA er dessuten frivillig å bruke.
Den første utgaven av Google av 2FA-funksjonalitet kunne sende brukerne via SMS eller generere den med en egen mobilapp. Begge deler støttes fortsatt i dag, sammen med flere andre metoder. Nå er utvalget av metoder nok en gang blitt utvidet.
Innebygd sikkerhetsnøkkel
I går lanserte Google ytterligere et 2FA-alternativ, nemlig at brukeren benytter den innebygde sikkerhetsnøkkelen i sin egen Android-telefon. For å bruke denne må brukeren befinne seg innen Bluetooth-rekkevidde fra enheten som brukeren ønsker å logge seg på. En forutsetning er selvfølgelig at begge enhetene har Bluetooth-støtte og at denne er skrudd på.
Når brukeren forsøker å logge seg på en enhet som vedkommende tidligere ikke har logget seg inn på, mottar brukeren et varsel på mobilen som kan bekreftes med volum ned-knappen.
En annen forutsetning for at dette skal fungere, er at mobilen til brukeren benytter Android 7 eller nyere. På den andre enheten er det foreløpig kun nettleseren Chrome for Windows, MacOS og ChromeOS som fungerer.
En trinnvis beskrivelse av framgangsmåten finnes på denne siden.
Bør brukes av alle
Det er ingen tvil om at tofaktor autentisering øker kontosikkerheten betydelig, framfor bare å benytte et brukernavn og et passord. Også 2FA har sine svakheter, men dette er særlig knyttet til inntastingen av engangspassordet. Det unngår man blant annet med den nye 2FA-funksjonen til Google, selv om enkelte aktører påpeker at Bluetooth ikke er like sikkert å bruke som NFC eller USB.
Det er heller ingen tvil om at 2FA både må være tilby en ekstra sikkerhet, være enkelt å ta i bruk og enkelt å benytte under innloggingen. Ellers blir det ikke brukt. Men til tross for alle de ulike alternativene Google tilbyr, hvorav de fleste enkelt kan tas i bruk på noen få minutter, så opplyste en Google-ingeniør i fjor at bare rundt ti prosent av Gmail-brukerne har aktivert 2FA.
Les du denne? – Hvorfor er Vipps villige til å stole på såpass mange tredjeparter?
Kan få store konsekvenser
Trolig er det mange av disse kontoene som ikke lenger blir brukt, eller som bare brukes til uviktige ting. Mange andre har brukt Gmail-adressen sin til for eksempel å registrere seg hos andre tjenester, til fortrolig kommunikasjon eller til bestilling av varer og tjenester.
Dersom noen får tilgang til kontoen, vil de få tilgang til alt dette. Endrer de i tillegg passordet, mister kontoeieren tilgangen til kontoen. Ikke se bort fra at dette kan skje på et høyst ubeleilig tidspunkt, for eksempel rett før eller under en reise.
Derfor er det nokså uforståelig at ikke flere aktivert 2FA på både Google-kontoen sin og alle andre steder hvor dette tilbys.
Les også: – To-faktor autentisering med engangskoder kan relativt enkelt omgås av angripere
