Google, Facebook, Apple, Microsoft, Dropbox och många andra onlinetjänster erbjuder tvåfaktorautentisering (2FA) som ett alternativ för att skydda ditt konto.

Att skriva in en textad kod är inte det bästa sättet att göra 2FA. Upphovsman: golubovystock / Shutterstock
(Bildkredit: Att skriva in en textkod är inte det bästa sättet att göra 2FA. Upphovsman: golubovystock / Shutterstock)

Med 2FA aktiverat är det mycket svårare för en skurk att bryta sig in på ditt konto, även om han eller hon vet eller kan gissa ditt Lösenord, för skurken kommer att sakna den avgörande andra faktorn som bara du har. Vi på Toms guide uppmanar våra läsare att aktivera 2FA närhelst de kan.

Men det finns flera olika former av tvåfaktorsautentisering, och tyvärr använder du förmodligen den värsta. Så här stärker du ditt 2FA-spel.

MER: Bästa lösenordshanterare

Tvåfaktorautentisering består av att tillhandahålla en andra form av autentisering efter att du har angett ditt användarnamn och lösenord när du loggar in på ett onlinekonto.

Den andra formen av autentisering, eller faktor, kan inte bara vara ett annat lösenord eller PIN-kod. Det måste knytas till något som du ensam har, till exempel en smartphone eller en hårdvarusäkerhetsnyckel, eller ett unikt fysiskt attribut, som ditt fingeravtryck eller ditt ansikte.

Minst säker 2FA

- Koder med text eller röst: Den vanligaste andra faktorn för 2FA är en tillfällig digital eller alfabetisk kod med fyra eller sex tecken som textas till din mobiltelefon. Koden genereras automatiskt av tjänsten du loggar in på och är bra under bara en kort tid, vanligtvis mindre än 5 minuter. En variant är att ett automatiskt telefonsamtal läser upp koden för dig, vilket också fungerar med fasta telefoner.

Det här kan vara den typ av 2FA du har, men det är också den minst säkra formen. SMS och röstsamtal är inte krypterade och de är knutna till ditt telefonnummer snarare än till en viss enhet. De kan fångas av vem som helst som har stulit ditt telefonnummer, som har ändrat ditt konto för att vidarekoppla samtal eller sms till ett andra nummer, eller som jobbar hos telefonoperatören. Du måste också ha en fungerande mobiltjänst för att texterna ska fungera alls.

SMS-baserad och röstbaserad 2FA är bättre än ingen 2FA alls, och många onlinetjänster ger dig inget annat val. Det finns bättre andra faktorer tillgängliga, men några av dem är lika enkla att installera som det textade kodsystemet.

Säkrare 2FA

- Koder: Det här är tillfälliga koder som skickas över krypterade internetanslutningar, snarare än telefonlinjer, till en app på din smartphone eller till telefonens operativsystem. Apple gör detta med iPhones, iPads och iPod Touch-enheter som kör iOS 9 eller senare. (Android-enheter och äldre iPhones som använder Apple 2FA måste hålla sig till SMS-baserade koder.)

- Kodgenererande hårdvarutoken: Om du arbetade i ett stort företag för 10 eller 15 år sedan kan du ha fått en liten doohickey för din nyckelring som visade ett nytt sexsiffrigt nummer var 30: e sekund. Du skrev in det numret när du loggade in på ditt arbetsplatsnätverk hemifrån eller under resan. Dessa används inte mycket längre eftersom det är lättare att generera koder på smartphones.

2FA, det gamla sättet: En kodgenererande fjärrkontroll av RSA-typ. Upphovsman: Dave Clark Digital Photo / Shutterstock
(Bildkredit: 2FA, det gamla sättet: En kodgenererande fjärrkontroll av RSA-typ. Upphovsman: Dave Clark Digital Photo / Shutterstock)

- Kodgenererande autentiseringsappar: Tillfälliga verifieringskoder behöver inte skickas till dig. de kan genereras direkt på din telefon. Dussintals autentiseringsappar gör detta, och många av dem är gratis. De mest kända är Authy, Duo Mobile, Google Authenticator, LastPass Authenticator och Microsoft Authenticator.

Många onlinetjänster - inklusive Amazon, Dropbox, Facebook, Google, PayPal, Slack och Twitter - stöder autentiseringsgenererade koder som ett alternativ till SMS-baserade koder. Alla appar kan användas för flera konton, och du behöver inte ha en mobilanslutning eller till och med Wi-Fi-åtkomst på din telefon för att koderna ska fungera.

Googles Authenticator-app på en iPhones appskärm. Upphovsman: BigTunaOnline / Shutterstock
(Bildkredit: Googles Authenticator-app på en iPhones appskärm. Upphovsman: BigTunaOnline / Shutterstock)

Det är enkelt att installera en autentiseringsapp. Logga in på en onlinetjänst på en webbläsare på en stationär eller bärbar dator, gå till dina säkerhetsinställningar och ange att du vill konfigurera en autentiseringsapp för 2FA. Webbplatsen visar en QR-kod som du fångar i autentiseringsappen på din telefon med hjälp av telefonens kamera. Det borde göra det.

Ingen form av 2FA med temporära koder är dock immun mot nätfiskeattacker. Snygga brottslingar kan lura dig med en falsk webbplats som ser ut som den där du ska skriva. Kriminella samlar sedan in koden du anger och skriver den på den riktiga webbplatsen. Sådana attacker har varit framgångsrika mot Google-konton.

Ännu säkrare fortfarande

- Push-godkännanden: Vad händer om du bara kan trycka på "Ja" eller en bock på din telefon istället för att skriva in en kod? Microsoft erbjuder detta med sin Microsoft Authenticator-app; Yahoo har det inbyggt i sin Yahoo Mail-app; och Google bygger det direkt på Android för G Suite-företagsanvändare.

Fångsten är att du måste logga in på dina Microsoft-, Yahoo- eller G Suite-konton. Många tredjepartsautentiseringsappar, inklusive Authy och Duo Mobile, kan dock hantera push-aviseringar för flera tjänster.

Även skadliga Android-appar kan efterlikna eller kapa push-aviseringar och få användaren att felaktigt godkänna obehöriga kontoinloggningar. Detta är mindre problem med iOS-enheter.

Säkraste 2FA av alla

- USB-säkerhetsnycklar: Det här är små nyckelformade enheter som du ansluter till en dators USB-port när du loggar in på en webbplats från en ny dator. Vissa säkerhetsnycklar spelar också nära fältkommunikation (NFC) för att interagera med smartphones.

De mest kända USB-säkerhetsnycklarna är tillverkade av Yubico och kallas YubiKeys, men det finns flera andra tillverkare och några olika standarder. Den grundläggande standarden är universell andra faktor (U2F), och den är den mest stödda.

En standard U2F-kompatibel USB-säkerhetsnyckel. Upphovsman: IMG Stock Studio / Shutterstock
(Bildkredit: En standard U2F-kompatibel USB-säkerhetsnyckel. Upphovsman: IMG Stock Studio / Shutterstock)

För att ställa in en USB-säkerhetsnyckel registrerar du den med en onlinetjänst från en dator som tjänsten redan har "litar på." Du kan använda en enda nyckel med mer än ett konto och ett enda konto kan registrera mer än ett nyckel.

Tyvärr är stöd för USB-säkerhetsnycklar inte utbrett än. Google stöder U2F-baserade nycklar, liksom Dropbox, Facebook och Twitter, men inte många andra onlinetjänster erbjuder detta. Det mest utbredda stödet finns med lösenordshanterare: Dashlane och Vårdare stödja U2F-nycklar, medan LastPass och 1Lösenord stödja Yubicos egen standard.

Den andra nackdelen är att USB-säkerhetsnycklar kostar pengar. Priserna varierar från $ 8 för HyperFIDO U2F-nyckel utan NFC till $ 60 för Yubicos lilla USB-C YubiKey Nano. Det bästa kan vara 17 USD U2F-nyckel med NFC från Feitian, identiskt med vad Google ibland säljer som en del av dess Titan säkerhetsnyckelpaket.

Om du får en USB-säkerhetsnyckel bör du få en andra som säkerhetskopia om du förlorar den första. Trots kostnaden och det begränsade stödet (för tillfället) är USB-säkerhetsnycklar den bästa och säkraste andra faktorn för 2FA.

Din Android-telefon: Från och med april 2019 låter Google dig registrera en telefon som kör Android 7 Nougat eller senare som säkerhetsnyckel. Registreringsprocessen (detaljerade instruktioner är här) är samma som för att ställa in en USB-säkerhetsnyckel, men du väljer en kompatibel Android-telefon istället för en nyckel.

Det finns några fångster: Detta fungerar bara för ditt Google-konto; du måste logga in på kontot med hjälp av webbläsaren Chrome på en dator som kör Windows 10, macOS eller Chrome OS (ingen Linux, tydligen); och både datorn och din Android-telefon måste ha Bluetooth påslagen. (De behöver inte paras ihop.)

Skärmdump: Toms guide
(Bildkredit: Skärmdump: Tom's Guide)

När du har matat in ditt användarnamn och lösenord i skrivbordets webbläsare kommer du att bli ombedd att interagera med din Android-telefon. Om du har en Google Pixel 3-telefonkan du helt enkelt klicka på volym ned-knappen.

För andra Android-telefoner måste du svara på en push-avisering på telefonens skärm. (Detta är säkrare än det vanliga pushmeddelandet du får med G Suite, eftersom telefonen måste ligga inom Bluetooth-räckvidden för den dator du loggar in på.)

För framtiden

- Biometri: Låt oss inte glömma de unika identifierarna du föddes med: dina fingeravtryck, dina irismönster och ditt ansikte. För närvarande används dessa oftast för att logga in på enheter lokalt, till exempel genom att använda ditt ansikte eller fingeravtryck för att låsa upp din smartphone eller bärbara skärm (så länge din bärbara dator stöder Microsofts Windows Hello).

Men med den nya FIDO2-standarden, biometri kan också användas för att logga in på onlinetjänster. Det bästa nuvarande exemplet på detta är Microsoft, som låter dig logga in på någon av sina onlinetjänster med en Windows Hello-kompatibel dator. Några USB-säkerhetsnycklar har fingeravtrycksläsare för användning med Windows Hello.

Fingeravtrycksbaserad fjärrkontroll 2FA. Upphovsman: NicoElNino / Shutterstock
(Bildkredit: Fingeravtrycksbaserad fjärrkontroll 2FA. Upphovsman: NicoElNino / Shutterstock)

Inget lösenord behövs för regelbunden användning, även om du måste använda ditt Microsoft-lösenord för att ställa in systemet på nya enheter. Microsoft Edge, Google Chrome och Mozilla Firefox stöder också FIDO2, men få online-tjänster som inte är Microsoft ännu.

Vi är inte riktigt vid den punkt där du kan ställa in 2FA själv utan ett lösenord. Men du kan förvänta dig att se det i framtiden när FIDO2 och standardiserade biometriska format fångar på.

  • Hur man får en bättre tvåfaktorsautentiseringsnyckel för $ 20
  • Vad du ska göra efter ett dataintrång
  • Lösenord är inte döda - du använder dem bara fel