Sådan virker Twitters nye to-faktor-login

Det er for besværligt med koder sendt via sms, mener Twitter, som derfor har lavet et nyt login-system, baseret på en mobil-app.

To-faktor-sikkerhed er blevet normalt hos de store internettjenester, så man for eksempel skal indtaste en kode, sendt via sms, hvis man logger på Facebook fra en anden computer end normalt.

Men den metode er for bøvlet, mener Twitter, som selv har kørt med koder via sms siden maj måned. Derfor lancerer tjenesten nu en ny form for to-faktor-sikkerhed, der bruger en mobil-applikation til at sikre, at fremmede ikke får adgang til din konto. Det skriver Wired.com.

Applikationen opretter selv et 2048-bits nøglepar, beholder den private nøgle og sender den offentlige nøgle til Twitters servere. Når man logger ind på Twitter med sit brugernavn og password, vil app’en på telefonen få besked, og brugeren skal sige ’ja tak’, før der er adgang. Mere præcist sender de centrale servere en 32-tegn lang kode, som app’en så skal behandle med hjælp fra den private nøgle.

Når man tager applikationen i brug, skal man også skrive nogle backup-koder ned et sikkert sted, så man også kan få adgang, selv hvis man mister sin telefon. Mobil-app’en sender en kode igennem en hash-funktion 10.000 gange og sender resultatet til Twitter, mens brugeren får en backup-kode, der er blevet hashet 9.999 gange.

Dermed skal Twitters servere blot sende denne kode igennem hash-funktionen en enkelt gang og sammenligne med den kode, der allerede er gemt på serverne. Metoden kan bruges mange gange, så brugeren får en kode, der er hashet 9.998 gange og så videre.

Der er også mulighed for at starte helt forfra, hvis man både mister telefonen og sin backup-kode, men det er en mere besværlig proces, der går gennem Twitters support.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere