Mer om flerfaktorautenticering

-



 
Häromdagen fick jag ett egendomligt SMS. Så här såg det ut:


Meddelandet är "Din verifieringskod är 9248" från den intetsägande avsändaren "Verify". Jag har ingen aning om vad detta är och hur jag skulle tänkas agera på det. Därför ignorerade jag meddelandet. Men man kan ju spekulera i vad som har hänt. En möjlighet är att detta är ett misslyckat försök att få mig att logga in med en kod för flerfaktorautenticering på någon tjänst. (Vilken?). Och möjligen försöker någon angripare komma åt mig. Kanske genom att ha ett gissat lösenord (vilket jag bedömer som osannolikt eftersom jag har långa och mycket svårgissade lösenord). En annan möjlighet är en s.k. man-in-the-middle-attack vilket innebär att någon tjänst ligger "emellan" mig och den verkliga tjänsten och "snappar upp" inloggningar och koder som jag matar in. Jag bedömer det som osannolikt också. Så jag skulle kunna glömma alltihopa. 
 
Men låt oss fundera lite på ett säkerhetsproblem här. Att använda SMS-koder var den vanligaste lösningen för flerfaktorautenticering när det började bli vanligt för 10-15 år sen. De allra flesta har tillgång till en mobiltelefon, och kan ta emot SMS. Men det är i grunden en osäker metod, eftersom en kvalificerad angripare har flera möjligheter att ta sig in i flödet med olika tricks. Detta är också orsaken till att SMS-koder för flerfaktorautenticering numera betraktas som gammalmodiga och osäkra. De är så osäkra så de blev markerade som olämpliga av amerikanska cybermyndigheten NIST redan år 2016. Så då kan vi fundera på vad som är bättre alternativ? 
 
Det finns en mängd bättre alternativ än SMS-koder. För privatpersoner (som den här bloggen riktar sig till) är min rekommendation att använda sig av s.k. TOTP-koder. Det kanske känns väldigt tekniskt, men det är mycket enkelt. Det du behöver göra är att installera en speciell app på din mobiltelefon och här är en video som förklarar hur det går till. Vi väljer här den hyfsat enkla Google Authenticator.





När du kommit igång med användningen av Google Authenticator så kommer du stöta på en del frågor som du kan behöva se över.
  • Det är väldigt viktigt att du inte blir inlåst om du förlorar din mobiltelefon. Därför bör du använda Googles molnlagringsfunktion för att skapa en säkerhetskopia av dina koder. 
  • För mer avancerad användning av flerfaktorautenticering finns mer avancerade appar än Google Authenticator, som också erbjuder högre säkerhet i vissa aspekter. (Aegis, Authy, Microsoft Authenticator med flera). Jag går inte igenom alla dessa möjliga appar här och nu. Det viktiga är att du börjar bekanta dig med flerfaktorautenticering om du aldrig använt det. Och använder det för dina viktiga tjänster, särskilt viktigt är det för ditt konto för mejl.



Kommentarer

Skicka en kommentar

Populära inlägg i den här bloggen

Vi rundar av

-
Bild
Då är det dags att runda av. Åtminstone 3-4 av mina nära vänner och anhöriga har tagit del av (och skrivit ut) de råd jag gav här tidigare i vår, och då har jag skyddat min närmaste omgivning. Jag kommer dock fortsätta med en del undersökningsarbete men det kommer inte dokumenteras här. Bloggens viktigaste inlägg är detta . Här får du en kort genomgång av i princip allt du behöver veta. Alla råd jag har givit kan också sammanfattas här:  Denna korta vägledning från amerikanska cybermyndigheten CISA med själva vägledningen i PDF-format här . Råden för privatpersoner börjar på sidan 7 (se Civil Society Individuals ), och det är bara nio punkter att gå igenom. Notera att dessa råd egentligen är skrivna för privatpersoner som är särskilt utsatta, t.ex. genom att vara måltavla för repressiva regimer och liknande. Kanske lever du i en tryggare värld. Men råden är tillämpliga även i mer fredliga miljöer. Förutom denna text rekommenderar jag också följande länkar.  Råd från svenska I...
Läs mer

Allt du behöver veta om cybersäkerhet på 5 minuter

-
Bild
Många blir idag översköljda med råd, varningar, skrämselpropaganda eller rent struntprat när det gäller vardaglig cybersäkerhet. Då är det lätt att bli villrådig, överrumplad eller kanske rent av apatisk. Var ska jag börja? Vad är viktigast? Vem kan jag be om hjälp? I den här artikeln tänkte jag sammanfatta i princip  allt  du behöver veta, men du ska kunna läsa igenom det  på bara fem minuter . Det går förstås inte att gå in på alla detaljer här, men tanken är att du ska kunna använda detta som en kort checklista, för egen del eller när du hjälper andra. På sätt och vis blir det en motsvarighet till broschyrer som MSB:s  Om krisen eller kriget kommer . Det finns massor med detaljer kring hur du till exempel ordnar vattenförsörjning hemma, likaså finns det en massa olika sätt att hantera till exempel dina inloggningsnycklar till de system du använder.  De detaljerna går vi inte igenom här, de får du reda ut själv. (Men du får länkar till andra texter på bloggen,...
Läs mer

Ny kortfattad hjälp för förvirrade

-
Bild
Lite goda nyheter för dig som vill förstå vad detta med cybersäkerhet egentligen handlar om: Igår släppte den amerikanska cybermyndigheten CISA, i samverkan med bl.a. några europeiska och japanska partnerorganisationer en ny vägledning för cybersäkerhet. Det som skiljer detta dokument från många andra mastodonttexter är att det är kort , lättläst och användbart för privatpersoner och små företag . Det är inte alls särskilt långt från mitt eget "pinnade" inlägg i den här bloggen där jag ger en checklista för privatpersoner som man ska kunna läsa igenom på fem minuter . Men till skillnad från min bloggtext så är CISA:s text lite mer formell och "myndighetsmässig". Men ändå väldigt, väldigt läsvärd. Det börjar med en "executive summary" och sen följer 10 punkter för företag. Avsnittet om privatpersoner med ytterligare 10 punkter börjar på sidan 7 under "Civil Society Individuals".  ==>  Här är länken . <== Om du kollar igenom min blogg så kom...
Läs mer