Langt de fleste Gmail-brugere kører uden 2-faktor-autentifikation

2-faktor-autentifikation forbedrer sikkerheden betydeligt, men de færreste de Gmail-brugere har aktiveret det.

Det er i udgangspunktet en god idé at have 2-faktor-autentifikation aktiveret på sin web-mail.

Ikke desto mindre er det for øjeblikket under 10 pct. af Gmails brugerbase, der har aktiveret 2-faktor-autentifikation, selvom funktionen har været tilgængelig i snart syv år.

Det kunne softwareudvikler ved Google Grzegorz Milka meddele under en præsentation på it-sikkerhedskonferencen Usenix’s Enigma 2018, oplyser The Register.

Som en del Version2-læsere vil vide, så betyder 2-faktor-autentifikation, at et brugernavn og et kodeord i sig selv ikke er nok til at logge ind på en konto. Her en Google-konto.

Google har i dag forskellige 2-faktor-implementeringer, der involverer alt fra at sende brugeren en sms med en engangskode til en løsning, hvor en besked dukker op på telefonen, hvorefter brugeren skal tilkendegive, at det faktisk er ham eller hende, der er ved at logge ind på en computer.

Der er altså tale om, der bliver koblet en ekstra faktor på login. Og det betyder i udgangspunktet, at en angriber, der får kendskab til brugernavn og kodeord, ikke bare kan logge ind uden den anden faktor også.

NemID

Det danske NemID-nøglekort er et andet eksempel. Altså hvor private brugere både skal have et kodeord og et fysisk nøglekortet med engangskoder for at anvende løsningen.

Her kan man i øvrigt diskutere, hvorvidt digitale løsninger med sms-koder og apps på telefonen reelt giver tilstrækkeligt sikkerhed, såfremt login med brugernavn og adgangskode også foregår via telefonen. På den måde er login-informationerne ikke længere fysisk adskilte, da alt foregår via samme enhed. Og det kan være et problem, hvis telefonen bliver kompromitteret.

I forlængelse af dette er det - naturligvis - sikkerhedsmæssigt en dårlig idé at tage et billede af NemID-nøglekortet, så det ligger digitalt på mobilen som en almindelig billedfil. Hvis telefonen bliver kompromitteret, så gør informationerne på nøglekortet det også.

Hvorfor ikke 2-faktor som standard på Gmail

Alle systemer har svagheder, og der har da også været eksempler på, hvordan 2-faktor-autentifikation på forskellig vis har kunnet omgås. Eksempelvis ved at en angriber får adgang til en engangskode fra et nøglekort.

Men udgangspunktet er, at 2-faktor forbedrer sikkerheden væsentligt, fordi et angreb alt andet bliver mere kompliceret af, at brugernavn og adgangskode i sig selv ikke er nok.

Derudover, så kan en angribers forsøg på at logge ind på en 2-faktor-beskyttet konto - alt efter implementering - jo resultere i, at offeret ud af den blå luft får tilsendt en mail eller en sms, hvilket kan vidne om, at noget er galt.

The Register har spurgt Grzegorz Milka fra Google om, hvorfor virksomheden ikke bare har gjort 2-faktor obligatorisk. Et oplagt spørgsmål, forbedringen af sikkerheden taget i betragtning.

»Svaret er brugervenlighed,« siger han til The Register og fortsætter:

»Det handler om, hvor mange folk, vi ville drive væk, hvis vi tvang dem til yderligere sikkerhed.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (17)
Bjørn Damborg Froberg

Tør ikke tænke på hvor mange konti gMail har i alt, men det er nok et ret stort antal - inklusive alle de abuse-konti som måtte findes.
Tæller de deres business kunder med?

Jeg havde faktisk ventet at tallet ville være noget lavere end det er. Jeg kender ingen andre, ikke IT Folk, som gider have to-faktor på noget som helst.

Henrik Rathje

Jeg har min gmail på pc og android mobil(google vs google). På mobilen har jeg kun et 'lock pattern' der forhindre folk at få adgang til min gmail. Hvis de få adgang til min mobil, som jeg ikke altid har på mig.
Lock pattern er så primitivt at man ikke må genbruge samme punkt flere gange. Så med total lowtech talkum eller lignende på skærmen, så kan man se aftrykket, incl start og stop. Selvom man går igennem brugte punkter, så er kombinations mulighederne med ruten meget få med de kun 9 punkter.

Claus Pedersen

Det nytter virkelig meget.

Vi har mange kunder (ferieboligejere) som er blevet narret til at udlevere koden til deres mail adresse, ved at hackere har sendt mails, der ligner at de kommer fra Google, til dem med et link til en falsk gmail side - hvor de så har tastet brugernavn og kode ind.

Derefter sidder svindlerne stille og roligt og filtrerer i de mails som de kan bruge, med automatiske filtre så den rigtige ejer ikke ser dem.

Den form for phishing kan ikke lade sig gøre med 2-faktor.

I vores virksomhed er der tvungen 2-faktor og jeg opfordrer alle til at slå det til alle steder de kan.

Lars Skovlund

Jeg kan ikke forestille mig hvorfor man skulle være interesseret i at gøre det...
gmail virker fortrinligt i browseren så der er ingen som helst fornuftig grund til at bruge en mail klient.


Jeg var engang så uforsigtig at sende et program jeg havde skrevet til Gmail (source + binær), og nu nægter Gmail at lade mig downloade det (fordi det er en zip-fil med en exe-fil indeni -> red flag) med mindre jeg sætter en mailklient op til at hente filen ad den vej. Den ligger der efter alt at dømme stadig.

Bo Nørgaard

Jeg har en Google kodegenerator til to-faktor på min telefon, og det virker sådan set ret fint. Altså så længe telefonen virker...

For man kan ikke lave en backup af kodegeneratores opsætning, ej heller flytte den fra en telefon til en anden. Så nu når jeg skal skifte telefon, skal jeg fjerne to-faktor fra alle mine konti, og så oprette det igen på den nye telefon. Google, det er måske sikkert, men brugervenligt er det ikke.

Og så tør jeg ikke tænke på hvor lang tid jeg skal bruge for at genskabe alle mine konti hvis min telefon forsvinder.. jo jeg har nok koder et eller andet sted.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017