Når du skrur på totrinnsbekreftelse på innloggingene dine kan du i noen tilfeller velge å få sikkerhetskode i en app eller som SMS. Hva skal du velge og hvorfor? Hvordan sørge for at totrinnsbekreftelse blir en sikring og ikke et problem.
At det er viktig å bruke totrinnsbekreftelse er alle sikkerhetseksperter enige om.
Men for mange som ikke er sikkerhetseksperter, virker dette ganske komplisert. Når du så har skrudd det på må du ofte gjøre et valg om man skal bruke SMS eller en egen app for totrinnsbekreftelsen. Noen påpeker at SMS er mindre sikkert enn å bruke en app, men for mange virker SMS unektelig enklere, og de ser ikke helt hvordan det er usikkert.
Dersom man velger å gå for en app, er utfordringen at det er flere apper å velge mellom. Noen synes det er vite hvilken app de skal velge, både når det kommer til brukervennlighet og sikkerhet.
https://www.youtube.com/watch?v=mWwzQv5nqfI
Fordeler og ulemper ved SMS
Fordelen med å få koden på en SMS er at det er enkelt. Det er kjent for de fleste, og krever derfor liten erfaring med mobiler og teknologi.
Grunnen til at SMS sees på som mindre sikkert enn app når det kommer til totrinnsbekreftelse, er at det finnes sårbarheter som kan utnyttes for å få tak i andres engangskoder. SIM-swapping er navnet på en teknikk som har blitt brukt i enkelte tilfeller som har blitt kjent. Det innebærer at kriminelle lurer kundeservicen til et teleselskap til å sende ut et nytt SIM-kort for et eksisterende nummer, for eksempel ved å utgi seg for å være abonnenten. Så brukes det varierende metoder (avhengig blant annet av regler som varierer ut ifra sted og teleselskap) for å få tak i dette nye SIM-kortet. Når det tas i bruk, slutter SIM-kortet til offeret å fungere, og alle SMS-er havner hos den kriminelle istedenfor – inkludert totrinnskoder. SIM-swapping er i utgangspunktet ikke enkelt å gjennomføre, og det er heller ikke enklere å gjøre det i stor skala. Det brukes først og fremst i målrettede angrep.
Samtidig er det at du kan motta SMS-er ved å få et nytt SIM-kort er ikke bare en svakhet, men også en fordel, dersom du for eksempel mister mobilen.
Apper med skylagring
Nettopp det med at du kan komme til å miste mobilen er også grunnen til at vi anbefaler at du bruker en app, med skylagring.
Totrinnskodene i en app varer bare i en kort stund før de genereres på nytt. Når de genereres, gjøres det basert på en såkalt token. Dette er en hemmelig verdi som er lagret i appen på mobilen. Apper som har skylagring synkroniserer disse tokenene til en konto for din bruker i skyen. Dette kan høres kanskje usikkert ut, men tokenene er kryptert med et passord du velger selv. Passordet sendes ikke noe sted. Førstegangsoppsettet av appen tar seg av dette, i tillegg til å kreve totrinnsbekreftelse med SMS (som er forståelig med tanke på at appen ikke er ferdig satt opp enda).
Men er det trygt da?
For å svare på det må man gjøre en personlig risikovurdering. De færreste «dataangrep» som vanlige folk utsettes for er målrettede. Derfor spiller det liten rolle om du bruker SMS eller app for totrinnsbekreftelse, eller hva slags app man bruker. Det viktigste er at du bruker totrinnsbekreftelse.
Dersom du er en bruker som kan regne med å bli utsatt for målrettede angrep, burde du ikke bruke totrinnsbekreftelse med SMS. Hvis du i tillegg til dette er en bruker som ikke har god kontroll på passord eller bruker et svakt passord til å beskytte en totrinnsapp med skylagring, så burde du heller ikke bruke den løsningen.
For alle andre mener vi at totrinnsapp med skylagring er ufarlig, og et godt alternativ. For de fleste vanlig brukere er risikoen for å miste mobilen langt større enn risikoen for å bli utsatt for SIM-swapping og målrettede angrep.
Gjenopprettingskoder – viktig sikkerhetsløsning alle apper med totrinnskode
De fleste tjenester hvor du kan bruke totrinnsbekreftelse ved innlogging, tilbyr brukere gjenopprettingskoder. Dette er en liste med nummererte, korte koder, som kan benyttes i en nødsituasjon hvor du ikke har mulighet til å bruke totrinnsbekreftelse på vanlig måte. For eksempel om du har mistet mobilen, og ikke hadde skylagring i totrinnsappen.
Vi anbefaler at alle som tar i bruk totrinnsbekreftelse på en tjeneste, også skriver ned gjenopprettingskodene for den tjenesten på papir, og har dem på et trygt sted.
Dette, i kombinasjon med en app uten skylagring, er den beste løsningen for brukere som er utsatt for større risiko.
Hvorfor anbefaler vi app med skylagring?
Hvorfor har vi valgt å fokusere på skylagring fremfor gjenopprettingskoder i rådene vi gir? Det er fordi det er svært varierende hvor enkelt det er å få ut gjenopprettingskodene. Noen ganger vises de med en gang man har satt opp totrinnsbekreftelse, med direkte beskjed om å skrive dem ned. Andre ganger må du rote inn i en helt annen del av innstillingene for å gjøre det. Muligheten til å bruke gjenopprettingskoder er derfor avhengig av den enkelte tjenesten. Skylagring blir universelt fordi du da bruker samme app på alle tjenestene. Det er med andre ord en enklere måte å sikre at du ikke mister tilgang til sikkerhetskodene dine på.
Når det er sagt anbefaler vi selvfølgelig å skrive ned gjenopprettingskodene, også når du bruker en app med skylagring.