Langt de fleste Gmail-brugere kører uden 2-faktor-autentifikation

17 kommentarer.  Hop til debatten
Langt de fleste Gmail-brugere kører uden 2-faktor-autentifikation
Illustration: Screenshot.
2-faktor-autentifikation forbedrer sikkerheden betydeligt, men de færreste de Gmail-brugere har aktiveret det.
person
Jakob Møllerhøj
journalist
18. januar 2018 kl. 14:33
errorÆldre end 30 dage
person
Jakob Møllerhøj
journalist
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det er i udgangspunktet en god idé at have 2-faktor-autentifikation aktiveret på sin web-mail.

Ikke desto mindre er det for øjeblikket under 10 pct. af Gmails brugerbase, der har aktiveret 2-faktor-autentifikation, selvom funktionen har været tilgængelig i snart syv år.

Det kunne softwareudvikler ved Google Grzegorz Milka meddele under en præsentation på it-sikkerhedskonferencen Usenix’s Enigma 2018, oplyser The Register.

Som en del Version2-læsere vil vide, så betyder 2-faktor-autentifikation, at et brugernavn og et kodeord i sig selv ikke er nok til at logge ind på en konto. Her en Google-konto.

Artiklen fortsætter efter annoncen

Google har i dag forskellige 2-faktor-implementeringer, der involverer alt fra at sende brugeren en sms med en engangskode til en løsning, hvor en besked dukker op på telefonen, hvorefter brugeren skal tilkendegive, at det faktisk er ham eller hende, der er ved at logge ind på en computer.

Der er altså tale om, der bliver koblet en ekstra faktor på login. Og det betyder i udgangspunktet, at en angriber, der får kendskab til brugernavn og kodeord, ikke bare kan logge ind uden den anden faktor også.

NemID

Det danske NemID-nøglekort er et andet eksempel. Altså hvor private brugere både skal have et kodeord og et fysisk nøglekortet med engangskoder for at anvende løsningen.

Her kan man i øvrigt diskutere, hvorvidt digitale løsninger med sms-koder og apps på telefonen reelt giver tilstrækkeligt sikkerhed, såfremt login med brugernavn og adgangskode også foregår via telefonen. På den måde er login-informationerne ikke længere fysisk adskilte, da alt foregår via samme enhed. Og det kan være et problem, hvis telefonen bliver kompromitteret.

Artiklen fortsætter efter annoncen

Jobs

Tilpas personaliserede job
Vis alle

I forlængelse af dette er det - naturligvis - sikkerhedsmæssigt en dårlig idé at tage et billede af NemID-nøglekortet, så det ligger digitalt på mobilen som en almindelig billedfil. Hvis telefonen bliver kompromitteret, så gør informationerne på nøglekortet det også.

Hvorfor ikke 2-faktor som standard på Gmail

Alle systemer har svagheder, og der har da også været eksempler på, hvordan 2-faktor-autentifikation på forskellig vis har kunnet omgås. Eksempelvis ved at en angriber får adgang til en engangskode fra et nøglekort.

Men udgangspunktet er, at 2-faktor forbedrer sikkerheden væsentligt, fordi et angreb alt andet bliver mere kompliceret af, at brugernavn og adgangskode i sig selv ikke er nok.

Derudover, så kan en angribers forsøg på at logge ind på en 2-faktor-beskyttet konto - alt efter implementering - jo resultere i, at offeret ud af den blå luft får tilsendt en mail eller en sms, hvilket kan vidne om, at noget er galt.

The Register har spurgt Grzegorz Milka fra Google om, hvorfor virksomheden ikke bare har gjort 2-faktor obligatorisk. Et oplagt spørgsmål, forbedringen af sikkerheden taget i betragtning.

»Svaret er brugervenlighed,« siger han til The Register og fortsætter:

»Det handler om, hvor mange folk, vi ville drive væk, hvis vi tvang dem til yderligere sikkerhed.«

17 kommentarer.  Hop til debatten

Jobs

Tilpas personaliserede job
Vis alle
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
17
Chris Bastrup
6. februar 2018 kl. 18:23

Hvis du bruger Authy i stedet for Googles egen 2 faktor generator kan du flytte, backuppe, og anvende generatoren på flere enheder på en gang.

Den virker både iOS og Android.

  • more_vert
    • insert_linkKopier link
16
Mikael Kristensen
20. januar 2018 kl. 00:42

Log på gmail web som normalt, under indstillinger (tandhjul) > Andre indstillinger for Google-konto > Login på Google .

De kunne godt også have lagt det under "sikkerhedstjek", det var der jeg startede med at rode rundt.

  • more_vert
    • insert_linkKopier link
15
Claus Pedersen
19. januar 2018 kl. 23:14

Nej, men der er failover til sms og du kan gemme en liste af backup koder offline. Så der skulle være gode muligheder for at komme ind igen.

  • more_vert
    • insert_linkKopier link
14
Bo Nørgaard
19. januar 2018 kl. 21:55

Jeg har en Google kodegenerator til to-faktor på min telefon, og det virker sådan set ret fint. Altså så længe telefonen virker...

For man kan ikke lave en backup af kodegeneratores opsætning, ej heller flytte den fra en telefon til en anden. Så nu når jeg skal skifte telefon, skal jeg fjerne to-faktor fra alle mine konti, og så oprette det igen på den nye telefon. Google, det er måske sikkert, men brugervenligt er det ikke.

Og så tør jeg ikke tænke på hvor lang tid jeg skal bruge for at genskabe alle mine konti hvis min telefon forsvinder.. jo jeg har nok koder et eller andet sted.

  • more_vert
    • insert_linkKopier link
13
Claus Pedersen
19. januar 2018 kl. 16:52

Det virker helt fint i f.eks. Outlook. Du skal bare danne en specifik kode til hvert program, som er en lang kode du kun bruger til det ene program.

  • more_vert
    • insert_linkKopier link
12
Lars Skovlund
19. januar 2018 kl. 15:12

Jeg kan ikke forestille mig hvorfor man skulle være interesseret i at gøre det...
gmail virker fortrinligt i browseren så der er ingen som helst fornuftig grund til at bruge en mail klient.

Jeg var engang så uforsigtig at sende et program jeg havde skrevet til Gmail (source + binær), og nu nægter Gmail at lade mig downloade det (fordi det er en zip-fil med en exe-fil indeni -> red flag) med mindre jeg sætter en mailklient op til at hente filen ad den vej. Den ligger der efter alt at dømme stadig.

  • more_vert
    • insert_linkKopier link
10
Claus Pedersen
19. januar 2018 kl. 14:42

Det nytter virkelig meget.

Vi har mange kunder (ferieboligejere) som er blevet narret til at udlevere koden til deres mail adresse, ved at hackere har sendt mails, der ligner at de kommer fra Google, til dem med et link til en falsk gmail side - hvor de så har tastet brugernavn og kode ind.

Derefter sidder svindlerne stille og roligt og filtrerer i de mails som de kan bruge, med automatiske filtre så den rigtige ejer ikke ser dem.

Den form for phishing kan ikke lade sig gøre med 2-faktor.

I vores virksomhed er der tvungen 2-faktor og jeg opfordrer alle til at slå det til alle steder de kan.

  • more_vert
    • insert_linkKopier link
6
Hans Schou
19. januar 2018 kl. 11:08

Når man bruger 2-faktor på en smartphone. og den anden faktor er enten Google Authenticator eller SMS, så er det hele på samme enhed. Hvis den enhed så er hakket, så er det ikke meget værd. Det er nok bedre end kun en faktor, men skal ikke regne sig for sikker.

  • more_vert
    • insert_linkKopier link
5
Allan Stampe Kristiansen
19. januar 2018 kl. 07:41

Virker ikke hvis man som jeg bruger MS Outlook som mail klient.

  • more_vert
    • insert_linkKopier link
4
Henrik Tietgen
18. januar 2018 kl. 20:28

Jeg har min gmail på pc og android mobil(google vs google). På mobilen har jeg kun et 'lock pattern' der forhindre folk at få adgang til min gmail. Hvis de få adgang til min mobil, som jeg ikke altid har på mig. Lock pattern er så primitivt at man ikke må genbruge samme punkt flere gange. Så med total lowtech talkum eller lignende på skærmen, så kan man se aftrykket, incl start og stop. Selvom man går igennem brugte punkter, så er kombinations mulighederne med ruten meget få med de kun 9 punkter.

  • more_vert
    • insert_linkKopier link
3
Carsten Andersen
18. januar 2018 kl. 16:58

Men når folk så bliver hacket er der ikke grænse for strømmen af beklagelser over produktets ringe sikkerhed.

  • more_vert
    • insert_linkKopier link
1
Bjørn Damborg Froberg
18. januar 2018 kl. 14:41

Tør ikke tænke på hvor mange konti gMail har i alt, men det er nok et ret stort antal - inklusive alle de abuse-konti som måtte findes. Tæller de deres business kunder med?

Jeg havde faktisk ventet at tallet ville være noget lavere end det er. Jeg kender ingen andre, ikke IT Folk, som gider have to-faktor på noget som helst.

  • more_vert
    • insert_linkKopier link