Facebook får engangskoder per SMS

Er man bekymret for misbrug af ens Facebook-konto, kan man nu vælge to-faktor-sikkerhed med engangskoder, der bliver sendt via SMS, når der skal logges ind fra fremmede computere.

Et brugernavn og et password kan være nemt for it-kriminelle at opsnappe ? især over ukrypterede trådløse netværk, som det blev demonstreret til fulde med browser-udvidelsen Firesheep. Derfor tilbyder Facebook nu alle brugere, at de kan lægge et ekstra lag sikkerhed ind.

Med funktionen Login Approvals slået til, vil Facebook kun tillade normale logins fra computere, som brugeren har markeret som 'sikre'. Så snart der bliver forsøgt et login fra en anden computer, skal man først modtage en pinkode pr. sms, før man får adgang. Det skriver Facebook i et indlæg på firmaets hjemmeside.

Andre løsninger var også oppe at vende, men en pinkode sendt til mobiltelefonen blev udvalgt som den mest brugervenlige løsning, i forhold til for eksempel kode-tokens a la RSA's SecureID.

Mister man sin telefon og kontrollen over sit telefonnummer, kan man altid logge ind fra sin egen computer, eller andre 'sikre' maskiner, der er blevet hvidlistet af brugeren, skriver Facebook-praktikanten Andrew Song, der har udviklet Login Approvals. Derefter kan man så slå funktionen fra eller ændre sit telefonnummer.

Hvad der sker, hvis man både mister sin computer og sin mobiltelefon skriver han dog ikke noget om i indlægget.

Google har i februar indført valgfri to-faktor-autentificering på Gmail, men med lidt flere valgmuligheder for at få koden. For eksempel kan man få en applikation til sin smartphone, der genererer engangskoderne. Til gengæld skal man bruge koderne hele tiden, eller én gang om måneden, da Google ikke opererer med 'sikre' computere.

Læs også: Gmail får to-faktor-sikkerhed med engangskoder på mobilen

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Lund Stocholm Blogger

Et brugernavn og et password kan være nemt for it-kriminelle at opsnappe – især over ukrypterede trådløse netværk, som det blev demonstreret til fulde med browser-udvidelsen Firesheep

Firesheep opsnappede ikke brugernavn og password.

kodeord: HTTP session hijacking

  • 0
  • 0
Ejnar Hultesøm

Udvikling og vedligeholdelse af apps til generation af engangskoder, afsendelse af sms'er hver gang der logges ind fra en ny computer, genskabelse af misbrugte accounts... Ville det ikke være billigere bare at tvinge al indlogget trafik over HTTPS i sidste ende?

  • 0
  • 0
Jesper Poulsen

Jeg tænker at hvis HTTPS kun er for indloggede forbindelser, så er selve login-processen ikke over HTTPS?

Login-processen er end-to-end-krypteret og du har mulighed for force-end-to-end-krypteret session.

  • 0
  • 0
Jesper Lund Stocholm Blogger

Hej Jesper,

Hvordan vil du opsnappe brugernavn/password på en end-to-end krypteret forbindelse?

Login-proceduren har altid været beskyttet af SSL på Facebook, så at tvinge SSL-kryptering af al trafik i session vil ikke have nogen som helst betydning ifht de udfordringer brugerne står med omkring opsnapning/aflytning af brugernavn og password.

  • 0
  • 0
Jesper Poulsen

Login-proceduren har altid været beskyttet af SSL på Facebook

Kun hvis du vælger at benytte dig af det. Der er mulighed for både HTTP og HTTPS.

Men jeg vil da gerne vide hvordan du vil opsnappe brugernavn og password på en forbindelse der er end-to-end-krypteret fra session-start til session-slut.

  • 0
  • 0
Jesper Lund Stocholm Blogger

Hej Jesper,

Kun hvis du vælger at benytte dig af det. Der er mulighed for både HTTP og HTTPS.

Knappen i Login-formular på Facebook har altid peget på en HTTPS-side, så det er muligt, at du i teorien har ret og man kan rette lidt i HTML og logge ind uden SSL, men for resten af de "five nines" har der "altid" været SSL omkring login.

Men jeg vil da gerne vide hvordan du vil opsnappe brugernavn og password på en forbindelse der er end-to-end-krypteret fra session-start til session-slut.

Ja det gør man jo på den måde man altid har gjort det, når man ikke har kunnet aflutte trafikken enten fordi man var for langt fra kilden eller fordi den var beskyttet af SSL:

keyloggers etc.

  • 0
  • 0
René Vangsgaard

To-faktor-login giver dig en ekstra sikkerhed, hvis dit password bliver kompromitteret; angriberen skal også have adgang til din mobiltelefon.

Hvordan password er blevet kompromitteret er irrelevant i den sammenhæng.

  • 0
  • 0
Lenny Hansson

Hmm de er smarte hos facebook !

Hvad skal man gøre for lige at få de sidste mobil numre ud af folk .... tilbyder denne service gratis ! og så enda under påskud af bedre sikker. Og ening det er det også bedre sikkerhed. Men husk ikke noget tilbydes gratis uden facebook får noget ind i den anden ende som dit telefon nummer. Det kan give bedre profiling af personer der benytter facebook. Og sågar en target for en lille malware til en smartphone, hvis det skulle blive nødvendigt.

Ej nu maler jeg vel fanden på væggen igen ! Eller gør jeg ?

Men smart er det

\Lenny

  • 0
  • 0
Log ind eller Opret konto for at kommentere