Vad är tvåfaktorsautentisering (2FA) och hur fungerar det?

Vad är tvåfaktorsautentisering?
Författare
Alva Ljungkvist
Moa Rana
Editor
Moa Rana

Innehållsförteckning

I den här artikeln ska vi ordentligt gå igenom vad tvåfaktorsautentisering är för något, varför du bör använda dig av det, och så ställer vi den viktiga frågan – hur säkert är egentligen tvåfaktorsautentisering?

Ökad säkerhet med två faktorer

En stor del av våra liv spenderar vi uppkopplade och inloggade på diverse konton, både privata och jobbrelaterade. Därför är våra inloggningsuppgifter mer attraktiva än någonsin för kriminella. 

För att skydda dina konton och öka din säkerhet online kan du använda dig av tvåfaktorsautentisering. Tvåfaktorsautentisering kan förkortas 2FA.

När du använder tvåfaktorsautentisering behövs två faktorer för att få tillgång till dina konton. 

Det är i regel:

  1. Något du vet: som ditt lösenord 
  2. Något du har: som till exempel din telefon 

Det vanligaste sättet 2FA används på är att du först anger ditt lösenord och sedan får en kod skickad via sms till din telefon för att verifiera din identitet.

Tvåfaktorsautentisering

Du kan också använda faktorn: något du är. Det är mer avancerat och kräver verifikation av till exempel ditt fingeravtryck, din röst eller iris.

Olika typer av tvåfaktorsautentisering

Tvåfaktorsinloggning är inget nytt

Tvåfaktorsautentisering har funnits länge. När du använder ditt bankkort för att betala till exempel. Då använder du något du har: ditt bankkort, och något du vet: din PIN-kod. 

Varför räcker det inte med ett lösenord?

Det finns flera anledningar till varför ett lösenord inte är tillräckligt för att skydda dina konton. Att vi människor har för dåligt minne är ett av dem. 

Att ha olika lösenord till alla konton är svårt att komma ihåg, och det slutar med att många väljer lösenord som ”111111”, ”123456”, ”qwerty” eller ”password”. Det är alldeles för enkelt för hackers att lista ut. 

De allra flesta har också väldigt många konton. Vi har ett eller ofta flera e-postkonton, sociala medier och inloggning till lagring i molnet, för att nämna några. 

Lösenordet till din e-post är viktigast

Det är viktigt att ha olika lösenord till dina olika konton, men ett unikt lösenord till din email är absolut viktigast.

Om någon får tillgång till din e-post kan de ofta klicka på ”glömt lösenord” på andra webbplatser där du har ett konto, exempelvis till ett Facebook-konto, och få ett nytt lösenord skickat till din email som de har åtkomst till. De kan sedan skapa ett nytt lösenord och logga in utan din vetskap. 

IT-relaterade brott ökar

IT-brotten ökar och det kräver att säkerheten online stärks med tjänster som 2FA. Enligt en studie genomförd av University of Maryland sker ett olaga dataintrång (hackning) var 39:onde sekund

2FA är extra viktigt för att skydda dig mot skadlig programvara. Du kan till exempel drabbas av olika typer av malware, som keyloggers. Keyloggers registrerar varje tangenttryckning du gör och får då alla dina inloggningsuppgifter. Utan 2FA är det då lätt för dem att få tillgång till dina konton.

Under 2016 stals över $16 miljarder från 15.4 miljoner personer endast i USA. Mest pengar stals av kriminella som stjäl identiteter. De senaste sex åren har $107 miljarder stulits från människor via identitetsstöld. 

Vi har också sett en ökning av antalet företag som blivit av med personliga uppgifter om sina kunder. Företagens säkerhetssystem kan inte stå emot de moderna hacking-metoderna. Alla sorters företag kan förlora mycket, räknat både i finansiella förluster och förlorade kundförtroenden. 

Om ett företag blir hackat så drabbas nämligen också kunderna. Hela bankkonton kan bli tömda över natten. Ofta förs pengarna över på konton utomlands för att vara svårare att spåra. 

Är tvåfaktorsinloggning svårt att använda?

Syftet med 2FA är att det blir ett extra steg för att komma in på dina konton. Det gör att det blir svårare för obehöriga att nå dina konton. Det tar också lite längre tid för dig att komma in på dina konton och tjänster, men exempelvis en legitimering med BankID tar endast ett par sekunder.  

Är tvåfaktorsautentisering säkert?

2FA är inte ogenomträngligt för hackers. Men det gör att det blir svårare att logga in på dina konton, vilket utesluter vissa dataintrång. Med tvåfaktorsautentisering ökar din säkerhet på nätet eftersom åtkomsten till dina konton inte endast förlitar sig på det lösenord du valt. 

På vilka sätt kan tvåfaktorsautentisering utsättas för hackers?

Något vi inte använder så mycket i Sverige men som använts i andra länder är en hårdvarutoken. Det är en lite dosa du får upp en kod på, som en bankdosa vilket var vanligt innan BankID dök upp. Med hårdvarutoken kan du använda tvåfaktorsautentisering, men de kan också bli hackade. 

Ett annat sätt hackers kunnat ta sig förbi tvåfaktorsautentisering har varit genom att återställa konton. De som vill åt ditt konto har kunnat beställa ett nytt lösenord, fått ett tillfälligt och på så sätt kunnat komma förbi 2FA. Det här drabbade bland annat de verkställande direktörerna på Cloudflare via deras Gmail-konton. 

Mycket 2FA sker via SMS. Det är ett billigt och enkelt sätt, men även det kan drabbas av hacking. Risken finns att malware (skadlig programvara) används för att snappa upp eller helt omdirigera koden som skickas med sms till telefonen. 

De som vill åt dina konton kan också helt enkelt stjäla den fysiska komponenten i tvåfaktorsautentisering. För att minska risken att det ska hända är BankID bra, då du även behöver en personlig kod och inte bara en slumpad som skickas till din telefon. 

Annars behöver de som vill åt dina konton få tillgång till cookies eller tokens som finns på enheten via autentiseringsmekanismen. Det kan dem få via en phishing-attack, annan malware eller skimming av bankkort.

Hur fungerar BankID som 2FA?

BankID används för att identifiera dig online. Det används som en legitimation, som ett ID-kort eller körkort. BankID finns som app (mobilt BankID), BankID till dator (på fil) och BankID på kort. 

Hur säkert är BankID?

Mobilt BankID använder sig av något som kallas asymmetrisk kryptering och är troligtvis helt säkert. Du måste alltså ha tillgång till din privata krypteringsnyckel för att kunna identifiera dig. Mobilt BankIDs servrar lagrar aldrig heller din personliga PIN-kod. 

Säkerheten är väldigt viktigt för utvecklarna av BankID, men programkoden som kör på BankIDs servrar är svår att veta hur den ser ut. Det är såklart inget som visas upp – men därför kan du inte heller veta hur säker den är. 

Säkerhetsrisker med BankID

Det största hotet mot BankID-användare är att den som ska legitimera sig inte behöver vara den som startar inloggningen. Det kan alltså vara någon annan person som på en annan plats startar en inloggning och sedan ber personen som ska legitimeras att skriva in sin personliga kod i till exempel BankID-appen.

Det här utnyttjas av de kriminella som vill åt dina konton. Det kan ske genom att de ringer upp dig och påstår sig komma från din bank. Personen du pratar med ber dig legitimera dig med BankID. Du gör det och nu de kriminella kommit in på ditt bankkonto och har full kontroll över alla dina konton. Detta kallas för social manipulation eller social engineering.

För att undvika detta ska du aldrig legitimera dig med BankID om du själv inte startat inloggningen online. I stället kan du använda en QR-kod. Den behöver då skannas in av din telefon vilket gör att inloggningen inte kan ske på annan plats än legitimeringen. Auktorisering med QR-kod använder sig många banker av i dagsläget.

Google Authenticator

Google Authenticator är en programvara som kan laddas ner som app i telefonen eller som tillägg i din webbläsare. Med hjälp av Google Authenticator kan du enkelt logga in med tvåfaktorsautentisering hos olika tjänster, bland annat Gmail, Dropbox och WordPress.

När du ska logga in på någon av Googles tjänster genererar appen en sexsiffrig engångskod att ange för att få tillgång till dina konton. 

Högre nivåer av autentisering

Det finns fler faktorer som kan användas vid autentisering för att säkra konton. För varje tillagd faktor blir det svårare för obehöriga att nå dina konton. Antingen lägger du till en till faktor – då kallas det för trefaktorsautentisering (3FA) eller så kan du lägga till ett flertal andra faktorer som då kallas multifaktorautentisering (MFA)

Fler faktorer kan vara saker som:

  • Fingeravtryck
  • Iris-skanning
  • Röstigenkänning
  • Geolokalisering
  • Typ av enhet
  • Tid på dygnet

I stället för att lägga till en extra kontroll vid inloggning kan också kontinuerlig autentisering diskret övervakas. Då kollar dem på saker som användarens tangenttryckningslängd, skrivhastighet och musrörelser. 

Summering: Vad är tvåfaktorsautentisering?

Tvåfaktorsautentisering innebär att du använder dig av två faktorer för att identifiera dig online. Det är i regel något du vet: som din personliga kod, och något du har: som till exempel ett sms som skickats till din telefon. Syftet med 2FA är ökad säkerhet för dina konton och tjänster. 

I Sverige har vi BankID vilket är en avancerad form av tvåfaktorsautentisering. Det används som en legitimation, som ett ID-kort eller körkort. 

Det räcker nämligen inte alltid med ett starkt lösenord, utan för varje faktor utöver det stärker det din säkerhet. 
Tvåfaktorsautentisering är inte heller ogenomträngligt för hackers. Men för din säkerhet är det definitivt något vi rekommenderar alla att ha på alla konton där det är möjligt.

Författare
Alva Ljungkvist
Skribent för Comprd Sverige. Småbarnsmamma med stort teknikintresse och skrivarlust.
Moa Rana
Editor
Moa Rana
Mats Maatson
Researcher
Mats Maatson

Lämna ett svar

Din e-postadress kommer inte publiceras.