Google dropper sms som standard for to-faktor-autentifikation

En prompt på mobilen er nu standardvalget ved to-faktor-autentifikation hos Google i stedet for sms.

Prompt på mobilen har afløst sms som standardvalg ved to-faktor-autentifikation i forbindelse med Google-login.

Det oplyser virksomheden i et indlæg, som The Register har bemærket.

Google begyndte at teste prompt blandt brugere tilbage i juli, og nu er det altså den foretrukne to-faktor-login-løsning hos virksomheden.

Med Google Prompt dukker der ved login på virksomhedens tjenester - altså såfremt to-faktor er aktiveret - en besked op på eksempelvis brugerens Android-enhed, som spørger, om han eller hun er ved at logge på.

Til det kan man så svare, at man er ved at logge på, eller at man ikke er. Hvis man ikke er, kan det være tegn på, at nogen uretmæssigt forsøger at tilgå ens Google-konto.

Det vil stadig være muligt at sætte login op til at bruge sms eller Google Authenticator i stedet for Google Prompt-løsning.

Hvad prompt angår, bemærker Google, at den kræver, at telefonen har en dataforbindelse. Desuden skal iOS-brugere hente en selvstændig Google-app, for at prompt fungerer.

Google: Mere sikker end sms

Ifølge Google er prompt mere sikker og lettere at benytte end sms.

I forhold til det med letheden, så kræver prompt som sagt blot, at brugeren klikker på en besked på telefonen for at logge ind via to-faktor, hvor sms-koden typisk skal indtastes i et felt på computeren, man forsøger at logge ind på.

Hvad sikkerheden angår, så bemærker The Register, at sikkerhedsfolk gennem længere tid har advaret om, at to-faktor-koder via sms ikke er sikkert. Den amerikanske standardiseringsorganisation NIST har desuden sidste år givet udtryk for, at to-faktor-sms bør pensioneres.

Og i maj i år udnyttede angribere sårbarheder i Signalling System 7 (SS7)-systemet til at stjæle to-faktor-login-oplysninger.

Som mange ved, eller i hvert fald burde vide, så er det i udgangspunktet en rigtig god idé at have en eller anden form for ekstra faktor koblet til en online-autentifikationsproces - eksempelvis en kode fra et NemID-nøglekort.

På den måde kan en angriber ikke nøjes med at opsnappe et offers brugernavn og kodeord - oplysninger, som måske har været lækket i en anden sammenhæng.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kristian Rastrup

Jeg bruger netop Google appen til samme formål på iOS. Den har fået forbud mod at sende meddelelser, fordi den mente en premiere på en Disney film var vigtig nok til at forstyrre mig med. Så nu skal jeg selv gå ind i appen og godkende.
Desuden giver Google mulighed for at lave fail-over til sms hvis man insisteret ved login. Dermed er sårbarhed ved sms der stadig.
Men Google sparer nok noget i omkostninger til sms.

Mogens Bluhme

For de med højt sikkerhedsniveau er der U2F (Universel 2. Factor) som Google selv har udviklet i samarbejde med Yubico i FIDO-alliancen. Den anvendes af Google's egne medarbejdere.

Fem Google-forskere har udarbejdet et white paper som resultat af to års research - lidt teknisk men informativ:

fc16.ifca.ai/preproceedings/25_Lang.pdf

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize