Under de senaste åren har konceptet tvåfaktorsautentisering (2FA), som länge var förbehållet nördarna, tagit sig in i det vanliga samhället. Talet är dock fortfarande till stor del begränsat till att använda 2FA för engångslösenord via SMS. Tyvärr är detta inte det mest tillförlitliga alternativet. Här är varför:
- Det är lätt att smygtittar på lösenord som skickas via SMS om meddelanden på låsskärmen är aktiverade.
- Även om meddelanden är avstängda kan ett SIM-kort avlägsnas och installeras i en annan smartphone, vilket ger tillgång till SMS-meddelanden med lösenord.
- Sms-meddelanden med lösenord kan avlyssnas av en trojan som lurar i smarttelefonen.
- Med hjälp av olika metoder (övertalning, mutor etc.) kan brottslingar få tag på ett nytt SIM-kort med offrets nummer från en mobiltelefonbutik. SMS-meddelanden går då till detta kort och offrets telefon kopplas bort från nätet.
- SMS-meddelanden med lösenord kan avlyssnas genom en grundläggande brist i SS7-protokollet som används för att överföra meddelandena.
Notera att även den mest högteknologiska och arbetskrävande av de ovan nämnda metoderna för att stjäla SMS-lösenord (SS7-exploatering) redan har använts i praktiken. Resten är daglig rutin för skurkarna. Med detta sagt har vi inte att göra med hypotetik, utan med ett levande hot.
På det hela taget är SMS-lösenord inte särskilt säkra, och ibland är de mycket osäkra. Därför är det vettigt att skanna horisonten efter alternativ när det gäller 2FA, vilket är dagens ämne.
- Entidskoder i en fil eller på papper
- Det finns en app för det också: Förutom alla ”en” i den här meningen har en uppsättning engångskoder som genereras en gång en nackdel: Förr eller senare kommer det att ta slut, och du kan bli kodlös i det mest olämpliga ögonblicket. Lyckligtvis finns det ett bättre sätt: Engångskoder kan genereras i farten med hjälp av en liten och (vanligtvis) mycket enkel autentiseringsapp. Hur autentiseringsappar fungerar
- Kompatibilitet mellan 2FA-appar och tjänster
- Bästa appar för tvåfaktorsautentisering
- 1. Google Authenticator
- 2. Duo Mobile
- 3. Microsoft Authenticator
- 4. FreeOTP
- 5. Authy
- 6. Yandex.Key
- FIDO U2F hårdvaruautentiserare: YubiKey och andra
- Hur FIDO U2F-token fungerar
- Vilka typer av U2F-enheter finns det
- Vad ska man välja: SMS, app eller YubiKey?
Entidskoder i en fil eller på papper
Det enklaste sättet att ersätta SMS-baserade engångslösenord är att använda, ja, engångslösenord, men förberedda i förväg. Det är inte det sämsta alternativet, särskilt inte för tjänster som du loggar in på sällan. Även för good ol’ Facebook kan den här metoden mycket väl duga, särskilt som reservplan.
Det är ganska okomplicerat: På begäran genererar och visar tjänsten ett dussintal koder för engångsbruk som senare kan användas för att autentisera en inloggning. Dessa koder kan skrivas ut eller klottra ner och läggas i ett kassaskåp. Eller, ännu enklare, de kan sparas i krypterade anteckningar i en lösenordshanterare.
Det är inte så viktigt om koderna förvaras i fysiskt eller digitalt format – det viktiga är att de (1) inte försvinner och (2) inte kan stjälas.
Det finns en app för det också: Förutom alla ”en” i den här meningen har en uppsättning engångskoder som genereras en gång en nackdel: Förr eller senare kommer det att ta slut, och du kan bli kodlös i det mest olämpliga ögonblicket. Lyckligtvis finns det ett bättre sätt: Engångskoder kan genereras i farten med hjälp av en liten och (vanligtvis) mycket enkel autentiseringsapp.
Hur autentiseringsappar fungerar
Det är mycket enkelt att använda 2FA-appar. Så här måste du göra:
- Installera autentiseringsappen på din smartphone,
- Gå till säkerhetsinställningarna för den tjänst som du vill använda appen med,
- Välj 2FA (om alternativet finns); tjänsten kommer att visa dig en QR-kod som du kan skanna direkt i 2FA-appen,
- Skanna koden med appen – den kommer att börja generera en ny engångskod var 30:e sekund.
Koderna skapas utifrån en nyckel (som endast är känd för dig och servern) och den aktuella tiden, avrundad till 30 sekunder. Båda komponenterna är desamma för dig och tjänsten, så koderna skapas synkront. Denna algoritm kallas OATH TOTP (Time-based One-Time Password) och är den absolut vanligaste.
Det finns ett alternativ som kallas OATH HOTP (HMAC-based One-Time Password). I stället för den aktuella tiden använder denna algoritm en räknare som ökar med 1 för varje nyskapad kod. Men den förekommer sällan i verkligheten, eftersom dess användning komplicerar den synkrona genereringen av koder på app- och tjänstesidan. Enkelt uttryckt finns det en inte obetydlig risk för att räknaren går i stöpet vid fel tidpunkt och att ditt engångslösenord inte fungerar.
Så OATH TOTP kan betraktas som en de facto-standard (även om det officiellt sett inte ens är en standard, vilket skaparna insisterar på i specifikationen).
Kompatibilitet mellan 2FA-appar och tjänster
De allra flesta 2FA-appar använder samma algoritm, så alla kan användas för tjänster som har stöd för autentiserare; välj själv.
Självklart finns det, som med alla tumregler, undantag. Av skäl som bara de själva känner till föredrar vissa tjänster att göra egna 2FA-appar som bara fungerar för dem. Dessutom fungerar tjänsterna själva inte med andra appar än deras egna.
Detta är särskilt vanligt bland stora videospelsutgivare: till exempel är Blizzard Authenticator, Steam Mobile med inbyggd Steam Guard, Wargaming Auth och andra alla inkompatibla med appar och tjänster från tredje part. Endast dessa skräddarsydda appar kan användas med de relevanta spelplattformarna.
Denna märkliga väg har även Adobe slagit in på med sin Adobe Authenticator, som endast fungerar med AdobeID-konton. Man kan dock använda andra autentiserare för att autentisera sig i AdobeID, så det är inte alls klart varför det behövdes en separat app.
I vilket fall som helst begränsar de flesta normala IT-företag inte användarna i deras val av 2FA-appar. Och även om ett företag plötsligt bestämmer sig för att skapa en egen app kan den oftast användas för att skydda inte bara de egna kontona utan även andra tjänsters konton.
Välj bara den autentiseringsapp som du gillar bäst när det gäller tilläggsfunktioner – den kommer att fungera med de flesta tjänster som generellt sett har stöd för 2FA-appar.
Bästa appar för tvåfaktorsautentisering
Väldet av 2FA-appar är förvånansvärt stort. Sök efter ”authenticator” i Google Play eller App Store och du kommer att se dussintals alternativ. Vi rekommenderar inte att du installerar den första appen du får syn på; den kanske inte är den säkraste. Kom ihåg att du är på väg att anförtro den nycklarna till dina konton (den kommer naturligtvis inte att känna till dina lösenord, men du lägger till 2FA eftersom lösenord har en tendens att läcka). I allmänhet är det värt att välja en app som är gjord av en stor och pålitlig utvecklare.
Och även om den grundläggande funktionen för alla dessa appar är densamma – att skapa engångskoder med hjälp av en och samma algoritm – har vissa autentiserare extra funktioner eller gränssnittsfunktioner som kan tilltala. Här är några av de mest intressanta alternativen.
1. Google Authenticator
Stödda plattformar: Som alla tekniska medier har noterat är Google Authenticator den enklaste att använda av alla de många 2FA-appar som finns. Den har inte ens några inställningar. Allt du kan göra är att lägga till en ny token (namnet på kodgeneratorn för ett enskilt konto) eller ta bort en befintlig token. För att kopiera en kod behöver du bara trycka på den. Det är allt!
En sådan enkelhet har dock en nackdel: Om du inte gillar något i gränssnittet eller om du vill ha fler funktioner måste du installera en annan autentiseringsapp.
+ Mycket lätt att använda.
2. Duo Mobile
Stödda plattformar: Android, iOS
Duo Mobile är också extremt användarvänlig, minimalistisk och fri från ytterligare inställningar. Den har en fördel jämfört med Google Authenticator: Duo Mobile håller koder dolda som standard – för att se dem måste användaren trycka på den specifika token. Om du, som jag, inte tycker om att ha en massa koder för alla dina konton på allmän visning varje gång du öppnar autentiseraren, är den här funktionen i Duo Mobile något för dig.
+ Döljer koder som standard.
3. Microsoft Authenticator
Stödda plattformar: Android, iOS
Microsoft valde också att inte ha några krusiduller med sin minimalistiska autentiserare. Med det sagt är Microsoft Authenticator märkbart mer funktionsrik än Google Authenticator. Till att börja med kan varje token konfigureras separat för att döljas, även om alla koder visas som standard.
För det andra förenklar Microsoft Authenticator inloggningen till Microsoft-konton. När du har angett ditt lösenord behöver du bara trycka på knappen i appen för att bekräfta inloggningen – och det är allt, du behöver inte ens ange en engångskod.
+ Kan konfigureras för att dölja koder.
+ Extra funktioner för att logga in på Microsoft-konton.
4. FreeOTP
Stödda plattformar: Android, iOS
Det finns fyra anledningar till att du väljer denna baby från Red Hat. För det första är programvaran öppen källkod. För det andra är det den lättaste appen på vår lista – iOS-versionen är bara 750 KB. (Som jämförelse kräver den minimalistiska Google Authenticator nästan 14 MB, och Authy-appen, som diskuteras nedan, är hela 44 MB.)
För det tredje döljer appen koder som standard, och visar dem bara om man trycker på tokenet. För det fjärde, men inte minst, låter FreeOTP dig konfigurera tokens mycket flexibelt och manuellt, om du skulle vilja det. Naturligtvis stöds också den vanliga metoden för att skapa token, genom att skanna en QR-kod.
+ Döljer koder som standard.
+ Tar endast 750KB i anspråk.
+ Öppen källkod.
+ Maximala inställningar när du skapar en token manuellt.
5. Authy
Stödda plattformar: Android, iOS, Windows, macOS, Chrome
Authy är den tjusigaste av 2FA-applikationerna och den största fördelen är att alla tokens lagras i molnet. Detta gör det möjligt att komma åt tokens från alla dina enheter. Samtidigt förenklas migreringen till nya enheter. Det finns inget behov av att återaktivera 2FA i varje tjänst, så du kan fortsätta att använda befintliga tokens.
Tokens i molnet krypteras med en nyckel som baseras på ett användardefinierat lösenord, vilket innebär att data lagras på ett säkert sätt och inte alls är lätt att stjäla. Du kan också ställa in en inloggnings-PIN-kod för appen eller skydda den med ett fingeravtryck om din smartphone är utrustad med rätt skanner.
Den största nackdelen med Authy är att den kräver att du konfigurerar ett konto kopplat till ett mobiltelefonnummer – annars fungerar den inte alls.
+ Tokens lagras i molnet, vilket gör att de kan användas på alla dina enheter.
+ Migrering till andra enheter är mycket enkel av samma anledning.
+ Appinloggning skyddad med PIN-kod eller fingeravtryck.
+ Endast koden för den senast använda token visas på skärmen.
+ Till skillnad från andra appar stöder den inte bara Android och iOS utan även Windows, macOS och Chrome.
– Fungerar inte utan ett Authy-konto kopplat till ett telefonnummer.
6. Yandex.Key
Stödda plattformar: Enligt min åsikt gör konceptet bakom Yandex.Key det till den bästa appen för 2FA. För det första kräver den ingen omedelbar registrering – du kan börja använda den lika enkelt som Google Authenticator. För det andra har den flera ytterligare funktioner som är tillgängliga för dem som inte är inställningsskygga.
För det första kan Yandex.Key låsas med en PIN-kod eller ett fingeravtryck. För det andra kan du skapa en lösenordsskyddad säkerhetskopia av tokens i Yandex-molnet (i detta skede krävs ett telefonnummer) och återställa den på vilken enhet som helst. På samma sätt är det möjligt att överföra tokens till en ny enhet när du behöver migrera.
Yandex.Key lyckas kombinera enkelheten hos Google Authenticator med den utökade funktionaliteten hos Authy, beroende på vad du föredrar. Appens enda nackdel är att gränssnittet inte är så lätt att använda med ett stort antal tokens.
+ Minimalism i början, utökad funktionalitet tillgänglig via inställningarna.
+ Säkerhetskopior av tokens kan skapas i molnet för användning på flera enheter och migrering till nya enheter.
+ Inloggning till appen skyddas med PIN-kod eller fingeravtryck.
+ Endast koden för den senast använda token visas på skärmen.
+ Ersätter ditt permanenta lösenord till Yandex-kontot.
– Med många tokens är det inte så lätt att hitta den som behövs.
FIDO U2F hårdvaruautentiserare: YubiKey och andra
Om en app som genererar engångskoder verkar vara ett för svagt och immateriellt sätt att skydda dina konton, och du vill ha något mer solitt och pålitligt som låser ditt konto med en nyckel som bokstavligen kan stoppas i fickan, så behöver du inte leta längre än till hårdvarutoken som är baserade på U2F-standarden (Universal 2nd Factor), som har skapats av FIDO-alliansen.
Hur FIDO U2F-token fungerar
U2F-hårdvarutoken är säkerhetsspecialisternas älskling, främst för att de ur ett användarperspektiv fungerar mycket enkelt. För att komma igång ansluter du helt enkelt U2F-token till din enhet och registrerar den i en kompatibel tjänst. Hela processen tar bara ett par klick.
För att bekräfta inloggningen till tjänsten måste du därefter ansluta U2F-token till den enhet från vilken du loggar in och trycka på token-knappen (vissa enheter kräver en PIN- eller fingeravtrycksscanning, men det är en extra funktion). Det är allt – inga komplicerade inställningar, inmatning av långa sekvenser av slumpmässiga tecken eller annat mumbo-jumbo som ofta förknippas med ordet kryptografi.
Insätt nyckeln och tryck på knappen – och det är verkligen allt
Till samma tid är saker och ting smarta och kryptografiskt sunda under huven: När man registrerar en token i en tjänst skapas ett par kryptografiska nycklar – en privat och en offentlig. Den offentliga nyckeln lagras på servern och den privata i ett Secure Element-chip, som är hjärtat i U2F-token, och lämnar aldrig enheten.
Den privata nyckeln används för att kryptera inloggningsbekräftelsen, som skickas till servern och kan dekrypteras med hjälp av den offentliga nyckeln. Om någon som utger sig för att vara du försöker överföra en inloggningsbekräftelse som är krypterad med fel privat nyckel, kommer dekryptering med den offentliga nyckeln att ge rappakalja, och tjänsten kommer inte att ge tillgång till kontot.
Vilka typer av U2F-enheter finns det
Det mest kända och vanligaste exemplet på U2F är YubiKey, tillverkad av Yubico. Företaget stod i huvudsak i spetsen för denna standard men valde att göra den öppen, för vilket syfte FIDO Alliance skapades. Och eftersom standarden är öppen är ditt val inte begränsat: U2F-kompatibla enheter tillverkas och säljs av olika företag, och nätbutiker erbjuder en rad olika modeller.
YubiKey – den kanske mest populära U2F-token
Till exempel har Google nyligen introducerat en svit autentiseringsenheter under namnet Google Titan Security Keys. Det är faktiskt nycklar som produceras av Feitian Technologies (den näst populäraste tillverkaren av U2F-token efter Yubico) som Google utvecklat sin egen firmware för.
Alla hårdvaruautentiserare som är kompatibla med U2F-standarden fungerar naturligtvis lika bra med alla tjänster som också är kompatibla med denna standard. Det finns dock skillnader, den viktigaste är de gränssnitt som stöds av nyckeln. Detta avgör direkt vilka enheter den kan fungera med:
USB: för anslutning till persondatorer (det spelar ingen roll om de kör Windows, Mac eller Linux; nycklarna fungerar utan att några drivrutiner behöver installeras). Förutom det vanliga USB-A finns det nycklar för USB-C.
NFC: krävs för användning med Android-smartphones och surfplattor.
Bluetooth: krävs på mobila enheter som inte har NFC. Till exempel behöver iPhone-ägare fortfarande en Bluetooth-baserad autentiserare. Även om iOS nu tillåter appar att använda NFC (före i år var endast Apple Pay tillåtet) har de flesta U2F-kompatibla apputvecklare ännu inte utnyttjat funktionen. Bluetooth-autentiserare har ett par nackdelar: för det första måste de laddas och för det andra tar det mycket längre tid att ansluta.
Basismodeller av U2F-token har vanligtvis endast stöd för U2F och kostar mellan 10 och 20 dollar. Andra, dyrare enheter (20-50 dollar) kan också fungera som smartkort, generera engångslösenord (inklusive OATH TOTP och HOTP), generera och lagra PGP-krypteringsnycklar och användas för att logga in i Windows, macOS, Linux och så vidare.
Vad ska man välja: SMS, app eller YubiKey?
Så, vad ska man välja för tvåfaktorsautentisering? Det finns inget universellt svar på denna fråga. Olika 2FA-versioner och kombinationer kan användas för olika tjänster. Till exempel bör konton med högsta prioritet (en brevlåda som är kopplad till andra konton osv.) skyddas till fullo – det vill säga låsas med en U2F-token på hårdvara med alla andra 2FA-alternativ blockerade. På så sätt kan du vara säker på att ingen någonsin kommer att få tillgång till ditt konto utan denna token.
Ett bra alternativ är att koppla två nycklar till ditt konto, som med bilnycklar: den ena finns alltid i fickan, den andra på ett säkert ställe om den första skulle gå förlorad. Dessutom kan du använda olika typer av nycklar: Du kan till exempel använda olika typer av nycklar: en autentiseringsapp på din smartphone som den primära och en U2F-token eller ett papper med engångslösenord i ditt kassaskåp som säkerhetskopia.
Det viktigaste rådet är i vilket fall som helst att undvika att använda sms-baserade engångslösenord när det är möjligt. Det är sant att det inte alltid är möjligt. Finansiella tjänster, till exempel, är notoriskt konservativa och erbjuder sällan autentisering genom något annat än SMS.