Google dropper sms som standard for to-faktor-autentifikation

24. oktober 2017 kl. 14:508
En prompt på mobilen er nu standardvalget ved to-faktor-autentifikation hos Google i stedet for sms.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Prompt på mobilen har afløst sms som standardvalg ved to-faktor-autentifikation i forbindelse med Google-login.

Det oplyser virksomheden i et indlæg, som The Register har bemærket.

Google begyndte at teste prompt blandt brugere tilbage i juli, og nu er det altså den foretrukne to-faktor-login-løsning hos virksomheden.

Med Google Prompt dukker der ved login på virksomhedens tjenester - altså såfremt to-faktor er aktiveret - en besked op på eksempelvis brugerens Android-enhed, som spørger, om han eller hun er ved at logge på.

Artiklen fortsætter efter annoncen

Til det kan man så svare, at man er ved at logge på, eller at man ikke er. Hvis man ikke er, kan det være tegn på, at nogen uretmæssigt forsøger at tilgå ens Google-konto.

Det vil stadig være muligt at sætte login op til at bruge sms eller Google Authenticator i stedet for Google Prompt-løsning.

Hvad prompt angår, bemærker Google, at den kræver, at telefonen har en dataforbindelse. Desuden skal iOS-brugere hente en selvstændig Google-app, for at prompt fungerer.

Google: Mere sikker end sms

Ifølge Google er prompt mere sikker og lettere at benytte end sms.

Artiklen fortsætter efter annoncen

I forhold til det med letheden, så kræver prompt som sagt blot, at brugeren klikker på en besked på telefonen for at logge ind via to-faktor, hvor sms-koden typisk skal indtastes i et felt på computeren, man forsøger at logge ind på.

Hvad sikkerheden angår, så bemærker The Register, at sikkerhedsfolk gennem længere tid har advaret om, at to-faktor-koder via sms ikke er sikkert. Den amerikanske standardiseringsorganisation NIST har desuden sidste år givet udtryk for, at to-faktor-sms bør pensioneres.

Og i maj i år udnyttede angribere sårbarheder i Signalling System 7 (SS7)-systemet til at stjæle to-faktor-login-oplysninger.

Som mange ved, eller i hvert fald burde vide, så er det i udgangspunktet en rigtig god idé at have en eller anden form for ekstra faktor koblet til en online-autentifikationsproces - eksempelvis en kode fra et NemID-nøglekort.

Artiklen fortsætter efter annoncen

På den måde kan en angriber ikke nøjes med at opsnappe et offers brugernavn og kodeord - oplysninger, som måske har været lækket i en anden sammenhæng.

8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
25. oktober 2017 kl. 21:34

For de med højt sikkerhedsniveau er der U2F (Universel 2. Factor) som Google selv har udviklet i samarbejde med Yubico i FIDO-alliancen. Den anvendes af Google's egne medarbejdere.

Fem Google-forskere har udarbejdet et white paper som resultat af to års research - lidt teknisk men informativ:

fc16.ifca.ai/preproceedings/25_Lang.pdf

7
25. oktober 2017 kl. 11:50

Det er et problem at folk tager billeder af deres NemID, men hvad har det med min Google konto at gøre?

6
25. oktober 2017 kl. 09:45

Alt for mange tager fotos af det og har disse liggende på telefonen.

Erstat det med en nøgleviser som standard, og vi er kommet lidt længere.

5
25. oktober 2017 kl. 08:36

Tak for tippet. Jeg prøver at justere lidt på mine addons

3
24. oktober 2017 kl. 16:20

Jeps - slog også Google-appen fra af samme årsag.

2
24. oktober 2017 kl. 15:33

Jeg bruger netop Google appen til samme formål på iOS. Den har fået forbud mod at sende meddelelser, fordi den mente en premiere på en Disney film var vigtig nok til at forstyrre mig med. Så nu skal jeg selv gå ind i appen og godkende. Desuden giver Google mulighed for at lave fail-over til sms hvis man insisteret ved login. Dermed er sårbarhed ved sms der stadig. Men Google sparer nok noget i omkostninger til sms.

1
24. oktober 2017 kl. 15:19

Det har aldrig virket for mig. Lige meget hvor mange gange jeg får promten frem, sker der intet.

Det eneste der virker for mig er at taste min authentication kode manuelt. Dette er både på min oneplus 3 og min nuværende 5.