De fleste sikkerhetseksperter anbefaler at man aktiverer totrinnsbekreftelse på så mange ulike tjenester som mulig, og det er vi enig i. I denne artikkelen skal vi se nærmere på hva totrinnsbekreftelse egentlig er for noe, hvordan man aktiverer det, de ulike typene totrinnsbekreftelse, og om det egentlig er noen vits for vanlige folk å aktivere det.
Kort oppsummert er totrinnsbekreftelse rett og slett en måte å identifisere at du er eieren av en konto på, ved at du må skrive inn koder fra SMS, e-post eller en app. Dette gjør kontoen din nesten 100 % trygg mot hackere, og du slipper å være redd for å miste kontoen din eller informasjon fra den.
På engelsk kalles totrinnsbekreftelse for Two-factor authentication, og skrives som regel kun som 2FA.
Det er opp til hver enkelt om de gidder å bruke totrinnsbekreftelse eller ikke, og vi håper denne artikkelen gir deg nok informasjon om fordeler, ulemper og fremgangsmåte til at du kan ta en egen vurdering på om du skal aktivere totrinnsbekreftelse eller ikke.
Slik fungerer totrinnsbekreftelse
Totrinnsbekreftelse er rett og slett et system som gjør at du må bruke én ekstra måte å identifisere identiteten din når du logger inn på en brukerkonto. Det holder ikke med kun brukernavn og passord, men du må også ha en annen måte.
Den mest kjente totrinnsbekreftelsen for folk bruker de fleste allerede; BankID har nemlig krav om at du bruker en bankbrikke eller app for å bekrefte at det er deg som logger inn. Her holder det ikke med kun fødselsdato og passord, du trenger nemlig også denne koden for å komme inn.
Det samme gjelder når du skal logge inn på noe offentlig med MinID. Her trenger du koder som sendes på SMS eller andre måter, og dette er nok et klassisk eksempel på totrinnsbekreftelse.
Så totrinnsbekreftelse er ikke på noen måte like mystisk som folk tenker, og de fleste av oss har allerede lang erfaring med å bruke det uten å egentlig vite det.
Fordeler og ulemper med totrinnsbekreftelse
Den store fordelen med totrinnsbekreftelse er at det blir tilnærmet umulig å hacke brukerkontoen din. Det er dessverre slik at mange millioner mennesker blir hacket vært år. Dette skjer typisk ved at en tjeneste man har brukt blir hacket slik at hackere får tilgang til alle e-poster og passord. Dersom man da har brukt samme passord på en annen tjeneste er det bare for hackerne å logge inn på kontoen din for å stjele det de måtte ønske.
Det er nemlig veldig mange som bruker samme passord på mange ulike nettsider, eller har veldig enkle passord som er enkle å hacke. Vi anbefaler å lage et sterkt og godt passord som er unikt for hver tjeneste man bruker, men noen ganger er ikke heller dette godt nok. Da kan man kombinere det med totrinnsbekreftelse, så får man nesten 100 % beskyttelse.
Du kan jo selv tenke deg hvor vanskelig det er å hacke noen som har på totrinnsbekreftelse. Først må du finne ut av passordet deres, noe mange hackere klarer å få til. Problemet er bare nå at de må finne en måte å få tilgang til SMS-tjenesten til brukeren, noe som er skikkelig krevende. Den enkleste måten å gjøre dette på er ved å fysisk få tilgang til mobilen, men det er ikke bare enkelt for en hacker som kanskje sitter i India, Russland eller et sted i Sør-Amerika.
Ulempen med totrinnsbekreftelse er derimot at det tar litt lenger tid å logge inn på kontoen din. Du må først skrive inn brukernavn og passord, og deretter vente på en e-post, SMS eller åpne en app for å få den ekstra koden du trenger. Dette tar jo kanskje ti sekunders tid, så mange synes det er veldig mye styr. Det kan også være litt tungvint om man mister mobilen sin, for da kan det bli hakket mer krevende å skulle logge inn på tjenester mens man venter på en ny mobil. Heldigvis er det ofte mulig å ha et SIM-kort som backup som kan puttes i en gammel telefon for å få SMS-ene du trenger.
Vi mener derimot uten tvil at den ekstra tiden det tar å logge inn med totrinnsbekreftelse er verdt det. Hva er vel ti sekunder ekstra i ny og ne i forhold til tanken om at noen får tilgang til hele e-posten din? Eller kanskje får tilgang til alle samtalene dine på Messenger? Vi synes i alle fall den ekstra tiden mer enn gjør opp for det ekstra laget med sikkerhet.
Ulike måter å få totrinnsbekreftelse på
Det er flere ulike måter å få totrinnsbekreftelse på, og noen tjenester tilbyr et bredt utvalg av måter å identifisere seg på, mens andre kun tilbyr én eller to måter.
SMS er nok den mest vanlige typen totrinnsbekreftelse. Denne fungerer enkelt nok ved at du mottar en SMS med 4 til 10 tall eller bokstaver, og må skrive inn disse før du får tilgang til den tjenesten du skal bruke. SMS-totrinnsbekreftelse regnes som veldig sikker, for det er veldig krevende å hacke SMS-innboksen til noen, og sjeldent verdt bryet for hackere.
E-post er også en mulighet, og fungerer omtrent på samme måte som SMS ved at du mottar en kode på e-posten din. Å få totrinnsbekreftelse på e-post er hakket mindre sikkert, fordi veldig mange har samme passord på e-posten sin som andre steder. Så da kan jo hackerne noen ganger bare logge inn på e-posten din for å hente koden de trenger der. Om du har satt på SMS-totrinnsbekreftelse på e-posten din er det derimot verre..
App på mobilen er også en veldig sikker mulighet. Her laster du enten ned en egen totrinnsapp som Authy eller Google Authenticator, så kobler du denne appen opp mot tjenesten du bruker. Her må du åpne appen for å generere en kode som du må skrive inn når du skal logge inn på tjenesten. Noen fungerer også slik at du logger inn, åpnet appen, og trykker på en knapp for å godkjenne innloggingen inne i appen. Ulempen med denne måten å bruke totrinnsbekreftelse er at det kan være tungvint å komme inn på tjenestene dersom du mister telefonen din.
Brev i posten er en annen mulighet for totrinnsbekreftelse, selv om det i praksis er nesten ingen tjenester som bruker denne funksjonen. Den eneste vi kommer på i farten er MinID, et system som brukes av offentlig etater for å la deg logge inn på offentlige tjenester som Skatteetaten, Altinn eller NAV.
Hvilke tjenester kan ha totrinnsbekreftelse?
Nå om dagen har alle de store tjenestene mulighet for å la deg bruke totrinnsbekreftelse, og dette blir bare mer og mer normalt. Du kan fint slå på totrinnsbekreftelse på alle store e-posttjenester som Gmail og Outlook, på Facebook, Instagram, TikTok og Twitter, eller på mer eller mindre alle andre tjenester som lagrer sensitiv eller privat informasjon.
Slik aktiverer du totrinnsbekreftelse
For å aktivere totrinnsbekreftelse må du typisk være logget inn på kontoen din på en tjeneste, og deretter navigere deg til der hvor du kan endre passord. Det er litt ulikt fra tjeneste til tjeneste, men som oftest må du inn på innstillinger og velge et alternativ som heter «Sikkerhet» eller lignende. Derfra pleier man å kunne aktivere totrinnsbekreftelse.
Når du aktiverer totrinnsbekreftelse må du verifisere denne med måten du vil bekrefte identiteten din på, så du trenger ikke å være redd for å skrive inn feil mobilnummer eller noen sånt.