Langt de fleste Gmail-brugere kører uden 2-faktor-autentifikation
Det er i udgangspunktet en god idé at have 2-faktor-autentifikation aktiveret på sin web-mail.
Ikke desto mindre er det for øjeblikket under 10 pct. af Gmails brugerbase, der har aktiveret 2-faktor-autentifikation, selvom funktionen har været tilgængelig i snart syv år.
Det kunne softwareudvikler ved Google Grzegorz Milka meddele under en præsentation på it-sikkerhedskonferencen Usenix’s Enigma 2018, oplyser The Register.
Som en del Version2-læsere vil vide, så betyder 2-faktor-autentifikation, at et brugernavn og et kodeord i sig selv ikke er nok til at logge ind på en konto. Her en Google-konto.
Google har i dag forskellige 2-faktor-implementeringer, der involverer alt fra at sende brugeren en sms med en engangskode til en løsning, hvor en besked dukker op på telefonen, hvorefter brugeren skal tilkendegive, at det faktisk er ham eller hende, der er ved at logge ind på en computer.
Der er altså tale om, der bliver koblet en ekstra faktor på login. Og det betyder i udgangspunktet, at en angriber, der får kendskab til brugernavn og kodeord, ikke bare kan logge ind uden den anden faktor også.
NemID
Det danske NemID-nøglekort er et andet eksempel. Altså hvor private brugere både skal have et kodeord og et fysisk nøglekortet med engangskoder for at anvende løsningen.
Her kan man i øvrigt diskutere, hvorvidt digitale løsninger med sms-koder og apps på telefonen reelt giver tilstrækkeligt sikkerhed, såfremt login med brugernavn og adgangskode også foregår via telefonen. På den måde er login-informationerne ikke længere fysisk adskilte, da alt foregår via samme enhed. Og det kan være et problem, hvis telefonen bliver kompromitteret.
I forlængelse af dette er det - naturligvis - sikkerhedsmæssigt en dårlig idé at tage et billede af NemID-nøglekortet, så det ligger digitalt på mobilen som en almindelig billedfil. Hvis telefonen bliver kompromitteret, så gør informationerne på nøglekortet det også.
Hvorfor ikke 2-faktor som standard på Gmail
Alle systemer har svagheder, og der har da også været eksempler på, hvordan 2-faktor-autentifikation på forskellig vis har kunnet omgås. Eksempelvis ved at en angriber får adgang til en engangskode fra et nøglekort.
Men udgangspunktet er, at 2-faktor forbedrer sikkerheden væsentligt, fordi et angreb alt andet bliver mere kompliceret af, at brugernavn og adgangskode i sig selv ikke er nok.
Derudover, så kan en angribers forsøg på at logge ind på en 2-faktor-beskyttet konto - alt efter implementering - jo resultere i, at offeret ud af den blå luft får tilsendt en mail eller en sms, hvilket kan vidne om, at noget er galt.
The Register har spurgt Grzegorz Milka fra Google om, hvorfor virksomheden ikke bare har gjort 2-faktor obligatorisk. Et oplagt spørgsmål, forbedringen af sikkerheden taget i betragtning.
»Svaret er brugervenlighed,« siger han til The Register og fortsætter:
»Det handler om, hvor mange folk, vi ville drive væk, hvis vi tvang dem til yderligere sikkerhed.«

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.