Vad är två­faktors­autentisering?

Två­faktors­autentisering är ett extra skydds­lager för ditt konto. Genom att aktivera två­stegs­autentisering skyddar du dig från konto­över­taganden eller lösen­ords- och identitets­stöld. Lär dig varför du ska använda två­stegs­autentisering här.

Två­faktors­autentisering innebär att din inloggning sker i två steg. Efter att ha fyllt i ditt användar­namn och lösen­ord måste du bevisa din identitet på ett annat sätt. Det kan till exempel ske med en kod från ett text­meddelande, en personlig fråga, ditt finger­avtryck eller en app. Med hjälp av två­faktors­autentisering hindrar du obehöriga hackare från att få till­gång till ditt konto. Två­faktors­autentisering kan även kallas två­faktors­verifiering eller förkortas 2FA från engelskans two-factor authentication eller MFA från multi-factor authentication.

Hur fungerar två­faktors­autentisering?

Vid inloggning till ett konto bekräftas användarens identitet traditionellt med användar­namn och lösen­ord. Dessa kan vara lätta att klura ut och därför ger inte användar­namnet och lösen­ordet ett till­räckligt skydd mot online­brottslingar. Användar­namnet är ofta personens e‑post och är därför inte svårt att gissa. Många användare brukar även ha samma lösen­ord till flera konton. Du ska inte åter­använda ett lösen­ord efter­som en brottsling då lätt kan komma åt flera av dina konton sam­tidigt.

För att undvika att svaga inloggnings­koder knäcks har flera tjänster tagit i bruk två­stegs­autentisering. I många fall är två­stegs­autentisering inte en standard­inställning, utan användaren aktiverar tjänsten manuellt från kontots inställningar. Där­efter frågas önskad typ av två­stegs­verifiering vid varje ny inloggning eller ny enhet. För maximalt skydd rekommenderar vi att du aktiverar två­faktors­autentisering på så många användar­konton som möjligt. Metoderna för två­faktors­autentisering kan i stora drag delas in i tre kategorier:

  • Något som du vet, till exempel en PIN-kod eller en personlig fråga.
  • Något som du har, till exempel en telefon eller ett kredit­kort.
  • Något som du är, till exempel bio­metriska mönster eller ett finger­avtryck.

Varför ska jag ha två­stegs­autentisering?

En ständig ökning av online­brottslighet är ett faktum och därför måste du se till att ingen annan än just du kan logga in på dina användar­konton. Termen två­faktors­autentisering kan låta komplicerad och för att förtydliga dess inne­börd listar vi fyra nyttor av två­stegs­autentiseringen:

  • Förhindra konto­över­taganden. Om en online­brottsling lyckas bryta sig in på ditt konto kan hen stjäla dina personliga uppgifter, till exempel bank­koder, och använda dem för att köpa eller sälja något online.
  • Förhindra identitets­stöld. I samband med konto­över­tagning kan du även bli utsatt för identitets­stöld. Följderna kan bli allvarliga och dyra om du inte får hjälp i tid.
  • Förhindra bedrägeri i ditt namn. Om en brottsling kommer åt ditt konto på till exempel sociala medier kan hen utnyttja det för att sprida falska med­delanden i ditt namn. Som exempel kan bedragaren ta över ditt Instagram konto och försöka sälja bit­coins till dina följare.
  • Ta hand om dina konton. Genom att aktivera två­stegs­autentisering tvingas du att fundera nog­grannare på din online­säkerhet. Många använder samma lösen­ord till flera konton och för att eliminera denna säkerhets­risk är två­stegs­autentisering ett effektivt sätt att öka med­vetenhet om sekretess på nätet.

Olika typer av två­faktors­autentisering

Baserat på de tre ovannämnda kategorierna listar vi olika typer av två­faktors­autentisering.

  • Personlig fråga. I samband med inloggningen ber enheten dig svara på någon personlig fråga som bara du kan veta svaret på.
  • Engångs­lösen­ord eller bekräftelse­nummer. Du får en PIN-kod via SMS med en ny kod som bekräftar din identitet varje gång du loggar in.
  • Face-ID. Enheten måste läsa av ditt ansikte för att vara säker på att det är du som loggar in.
  • Finger­avtryck. Efter­som allas finger­avtryck är olika skannar du ditt finger för att komma in. Moderna smart­phones stöder denna inloggnings­metod och kan avläsa ditt finger­avtryck via mobilens skärm.
  • Röst­igen­känning. Inloggningen kräver att enheten känner igen din röst innan du får till­gång till kontot. Var upp­märksam efter­som röst­igen­känning kan för­falskas med för­inspelade snuttar av den riktiga användarens röst.
  • QR-kod. För att logga in måste du avläsa en QR-kod med en app eller med din enhet.
  • Autentiserings­app. Till exempel banker brukar använda en skild autentiserings­app för att kunna logga in.
  • Skydds­nyckel eller token. Fysiska enheter, till exempel USB-, NFE- eller Blue­tooth-enheter, som bekräftar din identitet.

Hur kan hackare kringgå två­faktors­autentisering?

Även om 2FA förstärker skyddet av online­konton och gör det svårare för brottslingar att hacka sig in på dem finns det fort­farande sätt att kringgå två­faktors­autentisering.

Social engineering

Social engineering, även kallat social manipulation, innebär att en cyber­kriminell person försöker lura eller över­tyga en användare att uppge sekretess­belagd information för att kunna ta över kontot. Online­brottslingarna utnyttjar alltså en av de svagaste länkarna i cyber­säkerheten: offren själva. En vanlig typ av social engineering är nät­fiske där bland annat e‑post används för att lura människor eller infektera deras enheter med malware.

För att kringgå två­faktors­autentisering kan en online­brottsling påstå sig vara en tro­värdig och auktoritär person eller organisation. På så sätt försöker brottslingen få offret att uppge nyckeln för två­faktors­autentisering. Om bedragaren redan har fått tag på offrets användarnamn och lösen­ord kan hen bryta sig in på kontot med hjälp av 2FA-nyckeln.

Brute force

Inom cyber­säkerhet innebär så kallade brute force ‑attacker upprepade försök att logga in på ett konto. Försöken görs ofta med hjälp av någon typ av program­vara som försöker gissa ett konto­lösen­ord. Med svagt lösen­ord och ingen gräns för hur många gånger en användare kan ange felaktigt lösen­ord kommer en online­brottsling förr eller senare in på kontot. Ju längre och mer komplicerat lösen­ord, desto längre tid tar det att knäcka det med brute force.

Samma princip gäller för 2FA-koder. Om koden är kort, bara fyra till sex siffror, kan den knäckas med brute force. För att förhindra detta brukar koden vara aktiv endast under en kort tid eller så begränsas autentiseringen av endast ett fåtal miss­lyckade försök.

Token

Många typer av två­faktors­autentisering ger den nyckel, eller token, som används för autentisering i sam­band med inloggningen. I vissa fall finns det ändå en lista över tokens som utsetts i förväg. Bedragaren måste då veta vilken token som ska användas för att kunna kringgå två­faktors­autentisering. Hen måste även få tag på offrets användar­namn och lösen­ord.

Malware

Cyber­kriminella kan använda sig av malware för att kringgå två­faktors­autentisering och få till­gång till offrets konton. Till exempel en del avancerade Android-bank­trojaner verkar vara legitima bank­appar, men i verkligheten lurar de offret att själv autentisera åtkomst år brottslingen. Liknande skada kan även orsakas av malware i till exempel tjänster för krypto­valutor.

Ändra offrets säkerhets­inställningar

Ett engångs­lösen­ord eller ett bekräftelse­nummer skickas ofta till användarens mobil­telefon i sam­band med två­faktors­autentisering. Om en online­brottsling lyckas ändra på offrets säkerhets­inställningar kan hen kringgå detta steg i autentiseringen. En hackare kan till exempel ändra på telefon­numret som bekräftelse­koden skickas till och få den skickad till sin egen telefon istället för den riktiga konto­inne­havarens telefon.

Håll dina konton i säkerhet med F‑Secure TOTAL

Konto­över­tagande är tyvärr bara ett av många hot på nätet. Därför behöver du ett avancerat online­skydd som skyddar dig mot skadlig kod, hackning och andra faror på nätet. F‑Secure TOTAL har inte bara verktyg för att hantera dina lösen­ord och varna dig om din identitet är i fara. Det erbjuder också ett anti­virus­program för att avvärja virus samt en VPN för att skydda din integritet på nätet. Prova F‑Secure TOTAL kostnads­fritt och var säker på internet.

Läs mer och prova kostnads­fritt