Färre än 10 procent av Google-användarna använder tvåfaktorautentisering

Tråden skapades och har fått 27 svar. Det senaste inlägget skrevs .
1

Trots att Google erbjudit tvåfaktorautentisering som ett enkelt sätt att höja säkerheten för deras tjänster under flera år, har väldigt få aktiverat funktionen.

Läs hela artikeln här

  • Medlem
  • Lammhult
  • 2018-01-23 10:48

Återigen, fel i huvudet på folk?
Jag har gått åt andra hållet, jag har börjat UNDVIKA tjänster som -inte- kan erbjuda 2-faktor via app-baserad kod.

Det som tyvärr är rejält tråkigt är att det börjat komma en hel del "fusk". Jag har sett flera sajter där man ombes att antingen välja en 4-siffrig kod eller typ svara på "Vilken stad är du född i".
Detta väljer dom att kalla 2-faktor (dvs, ditt lösenord + denna "challenge").

Problemet är ju att det är en statisk 2-faktor så den blir ju mer eller mindre värdelös, tar dom ditt password tar dom förmodligen din 2faktor också.

Trist. Google marknadsför det inte tillräckligt. Jag fick själv upptäcka appen Google authenticator när sms började strula. Nu är det hur smidigt som helst. Apples är inte lika smidigt, men funkar det också. Apple envisas fortfarande med att placera mig i en annan del av landet där internetnoden är belägen. Jag ser undrande användare av och till om de vågar logga in.

En faktor att ta med är att tvåfaktorautentisering innebär att man delar ytterligare en typ av privat information med företag. Även om jag tvivlar på att detta har så mycket att göra med det låga användandet är det inte otänkbart att insamlingen av personlig information och delandet av denna mellan olika tjänster är något folk tar med i beräkningarna. 

Ursprungligen av Johan99:

En faktor att ta med är att tvåfaktorautentisering innebär att man delar ytterligare en typ av privat information med företag. ... 

Hur tänker du då? I normalfallet loggar man in med användarnamn och lösenord. Det är privata uppgifter. Med tvåfaktorsautentisering matar man även in en kod. Den genereras antingen av företaget självt via ett sms eller en dialogruta, eller en app som företaget står för.

Ursprungligen av Zeugma:

Hur tänker du då? I normalfallet loggar man in med användarnamn och lösenord. Det är privata uppgifter. Med tvåfaktorsautentisering matar man även in en kod. Den genereras antingen av företaget självt via ett sms eller en dialogruta, eller en app som företaget står för.

Ex sms = telefonnummer.

Ursprungligen av Zeugma:

Hur tänker du då? I normalfallet loggar man in med användarnamn och lösenord. Det är privata uppgifter. Med tvåfaktorsautentisering matar man även in en kod. Den genereras antingen av företaget självt via ett sms eller en dialogruta, eller en app som företaget står för.

Telefonnumret som behövs för att ta emot sms är ju en typ av privat information som man använder även till annat. Därtill har företagen som regel vanligtvis redan användarnas e-post och fullständiga namn.

Senast redigerat 2018-01-23 19:40

Jag kör tvåfaktorautensiering där det går men ingen lösenordshanterare.

  • Medlem
  • Stockholm
  • 2018-01-23 22:22

Hur ska man resonera kring säkerhet och in. och utloggning? Min bild är att allt fler(även om det går sakta) skapar bättre lösenord och använder 2-faktor. Men inte loggas det ut från mejl och andra tjänster i de telefoner, talets och datorer de använder? Hur bedöms det ur säkerhet? Hur gör ni? Själv kör jag på olika lösenord som jag bedömer som säkra och använder 2-fators när det finns/alt jag vet om att det finns. Loggar ibland ut, men lika ofta ligger de "öppna" i minst en enhet. Här tänker jag på mejlen som för de flesta borde vara det mest känsliga. Men även en del andra tjänster.

Personligen skulle jag önska ett internationellt "BankID" istället för lösenord. Det borde väl bli både säkert och användarvänligt?

Nix. Ser ingen anledning alls, eftersom jag inte använder Googles tjänster till något förutom det där obligatoriska kontot man måste ha för att köra android. Där heter jag något i stil med "Miljömupp O. Söderfikus", har registerat mot en engångsmail för spam och fyllt på med randombilder från Bayern, Uzbekistan och Kenya. Låt Google fundera på det. Lösenordet är en 50-teckensträng från lösenordshanterare. Good enough for government work.

Ursprungligen av Johan99:

Telefonnumret som behövs för att ta emot sms är ju en typ av privat information som man använder även till annat. ...

Ja, telefonnummer har du rätt i.

  • Redaktör
  • Sollentuna
  • 2018-01-24 13:33
Ursprungligen av xms67:

Hur ska man resonera kring säkerhet och in. och utloggning? Min bild är att allt fler(även om det går sakta) skapar bättre lösenord och använder 2-faktor. Men inte loggas det ut från mejl och andra tjänster i de telefoner, talets och datorer de använder? Hur bedöms det ur säkerhet? Hur gör ni? Själv kör jag på olika lösenord som jag bedömer som säkra och använder 2-fators när det finns/alt jag vet om att det finns. Loggar ibland ut, men lika ofta ligger de "öppna" i minst en enhet. Här tänker jag på mejlen som för de flesta borde vara det mest känsliga. Men även en del andra tjänster.

Personligen skulle jag önska ett internationellt "BankID" istället för lösenord. Det borde väl bli både säkert och användarvänligt?

Mina enheter har jag låsta när jag inte själv använder dem. Sätter oftast datorn i vila och det krävs lösenord för att låsa upp den igen. Ipad/telefon skyddas av Touch ID/Face ID och/eller kod.

  • Redaktör
  • Sollentuna
  • 2018-01-24 13:36
Ursprungligen av GustafMA:

Nix. Ser ingen anledning alls, eftersom jag inte använder Googles tjänster till något förutom det där obligatoriska kontot man måste ha för att köra android. Där heter jag något i stil med "Miljömupp O. Söderfikus", har registerat mot en engångsmail för spam och fyllt på med randombilder från Bayern, Uzbekistan och Kenya. Låt Google fundera på det. Lösenordet är en 50-teckensträng från lösenordshanterare. Good enough for government work.

Men det finns andra tjänster där du kan ha nytta av tvåfaktorsautentisering än just Googles (jag tror siffrorna kan vara lika deppiga på andra håll). Du har uppenbarligen koll på vad du gör (med medvetna val) och det tycker jag är det viktigaste. Blir så nervös av tanken på att många bara missat att det här ens går att göra och inte ägnat en tanke alls åt varför det är viktigt att skydda sig på nätet.

  • Medlem
  • Stockholm
  • 2018-01-24 14:41
Ursprungligen av Ida Blix:

Mina enheter har jag låsta när jag inte själv använder dem. Sätter oftast datorn i vila och det krävs lösenord för att låsa upp den igen. Ipad/telefon skyddas av Touch ID/Face ID och/eller kod.

Frågan är vad "säkerhetscommunityn" tycker om det..? Är det tillräckligt? Tunga lösenord och 2 faktors och så skyddas de av en(1) barriär på alla klienter? Kanske väljer också folk enklare lösenord på klienter då man loggar in så ofta? TouchID etc. är ju väldigt bra ur det perspektivet.

Själv anser jag att mitt privatliv är så extremt ointressant att ingen ändå kommer vilja hacka min mail för att finna att jag skickat en rolig länk till min bror. Visst är säkerhetstänk bra men ibland känns det som folk tror de inte bara jobbar för MUST utan ÄR MUST. De allra flesta privatpersoner har så fruktansvärt tråkiga liv att igen har intresse av att hacka deras mail...

Ursprungligen av Ida Blix:

Men det finns andra tjänster där du kan ha nytta av tvåfaktorsautentisering än just Googles (jag tror siffrorna kan vara lika deppiga på andra håll). Du har uppenbarligen koll på vad du gör (med medvetna val) och det tycker jag är det viktigaste. Blir så nervös av tanken på att många bara missat att det här ens går att göra och inte ägnat en tanke alls åt varför det är viktigt att skydda sig på nätet.

Tanken är faktiskt helt annorlunda. Jag har inget av någon som helst betydelse upplagt någonstans. All data av värde för mig ligger på mina egna maskiner eller på jobbets. Om man upplever att man har ett behov av tvåfaktorsidentifiering mot någon tredjepart på nätet bör man nog ta sig en funderare kring sina datorvanor i allmänhet. Undantaget från det resonemanget är bank-id, som ju krävs av såväl sosseriet som deras såta vänner i banksektorn, men det är också faktiskt allt.

  • Wisserbesser
  • Uddevalla
  • 2018-01-24 22:41
Ursprungligen av Zeugma:

Hur tänker du då? I normalfallet loggar man in med användarnamn och lösenord. Det är privata uppgifter. Med tvåfaktorsautentisering matar man även in en kod. Den genereras antingen av företaget självt via ett sms eller en dialogruta, eller en app som företaget står för.

Tvåfaktorskod via SMS är… …inte bra. Utdömt av de.

  1. SMS skickas över ett föråldrat telesystem (SS7) som designades utan att ta med säkerhet i tanke. Systemet är baserat på att lita på det du säger till det. Pelles mobil till systemet: "Hej, det här är Pelles mobil. Systemet svarar: Ok! Eftersom du utger dig för att vara Pelles mobil, så måste du vara Pelles mobil!"

  2. Flertalet fall där intrång&stöld har begåtts, trots att personen hade aktiverat tvåfaktor via SMS.

  3. Vad krävs för att få ett nytt SIM-kort? Ett samtal till din operatör på sin höjd. Utnyttjas redan "over there", kommer snart hit till lilla Sverige.

  4. Koder via SMS skickas till en mobiler – de flesta av oss har ställt in att SMS ska visas även vid en låst skärm. Själv anser jag att detta är smidigt, att se vad Nisse svarade angående lunch på hörnet. Men att den även ska visa tvåfaktorskoder utan någon form av verifiering av användaren, nej tack. TouchID eller lösenkod tack.

  5. Jag får SMS till flera enheter. Flera kontaktytor. Med tvåfaktor kan jag välja var jag vill ha denna, samt i många fall skydda den. Dels själva enheten med lösenkod eller login, och dels med ett lösenord på själva tvåfaktors-appen.

  6. Då SMS och röst kan ses av operatörer och stater mfl så är det fel enligt mig att dessa ska få reda på vilka tjänster jag loggar in på. 2FA via tex Google Authenticator sker med två/tre klara parter - mig, Google och ev tjänsteleverantör tex Discord.

Följande är jag inte hundra på, men betänk hur den senare är möjlig via social ingenjörskonst:
Att skapa en ny tvåfaktorsanslutning till en tjänst så kräver det användaruppgifter+giltig tvåfaktorskod.
Att byta nummer, vilket folk faktiskt gör ibland, så kan det räcka med ett samtal till kundtjänst.

Tvåfaktorsautentisering via SMS är mindre säkert än andra sätt.

http://twofactorauth.org/ har en bra samling av tjänster som erbjuder 2FA. Även om du inte har ett behov av att skydda något så kan du använda det som en indikator på hurpass säkerhetsmedvetna tjänsteleverantörer är.

  • Medlem
  • 2018-01-24 23:01
Ursprungligen av GustafMA:

Tanken är faktiskt helt annorlunda. Jag har inget av någon som helst betydelse upplagt någonstans. All data av värde för mig ligger på mina egna maskiner eller på jobbets. Om man upplever att man har ett behov av tvåfaktorsidentifiering mot någon tredjepart på nätet bör man nog ta sig en funderare kring sina datorvanor i allmänhet. Undantaget från det resonemanget är bank-id, som ju krävs av såväl sosseriet som deras såta vänner i banksektorn, men det är också faktiskt allt.

Intressant

Hur gör du med backup av din mobil?

Ursprungligen av PaO:

Intressant

Hur gör du med backup av din mobil?

Eller mail.

  • Redaktör
  • Sollentuna
  • 2018-01-25 00:51
Ursprungligen av martinator:

Själv anser jag att mitt privatliv är så extremt ointressant att ingen ändå kommer vilja hacka min mail för att finna att jag skickat en rolig länk till min bror. Visst är säkerhetstänk bra men ibland känns det som folk tror de inte bara jobbar för MUST utan ÄR MUST. De allra flesta privatpersoner har så fruktansvärt tråkiga liv att igen har intresse av att hacka deras mail...

Det händer att ”ointressanta” privatpersoner blir ”id-kapade” eller vad kvällspressen brukar kalla det å exempelvis får räkningar för grejer de inte köpt. Eller varför inte att någon loggar in på ens konto på FB och skickar massa skit till ens vänner. Säger inte att det kommer hända något hemskt eller ens något alls om man kör med ”123456” över allt, det finns kändisar å andra att ge sig på som är mer troliga att drabbas på olika sätt, men det är enligt min mening dumt att inte säkra upp åtminstone viktiga delar av sitt nätliv – särskilt när det är så här enkelt att göra och använda.

Men det viktigaste är att känna till möjligheterna som finns och sen – som du – göra ett medvetet val. Jag tror att det ser ut så här som hos Google främst av okunskap.

  • Redaktör
  • Sollentuna
  • 2018-01-25 00:56
Ursprungligen av reboot81:

Tvåfaktorskod via SMS är… …inte bra. Utdömt av de.

  1. SMS skickas över ett föråldrat telesystem (SS7) som designades utan att ta med säkerhet i tanke. Systemet är baserat på att lita på det du säger till det. Pelles mobil till systemet: "Hej, det här är Pelles mobil. Systemet svarar: Ok! Eftersom du utger dig för att vara Pelles mobil, så måste du vara Pelles mobil!"

  2. Flertalet fall där intrång&stöld har begåtts, trots att personen hade aktiverat tvåfaktor via SMS.

  3. Vad krävs för att få ett nytt SIM-kort? Ett samtal till din operatör på sin höjd. Utnyttjas redan "over there", kommer snart hit till lilla Sverige.

  4. Koder via SMS skickas till en mobiler – de flesta av oss har ställt in att SMS ska visas även vid en låst skärm. Själv anser jag att detta är smidigt, att se vad Nisse svarade angående lunch på hörnet. Men att den även ska visa tvåfaktorskoder utan någon form av verifiering av användaren, nej tack. TouchID eller lösenkod tack.

  5. Jag får SMS till flera enheter. Flera kontaktytor. Med tvåfaktor kan jag välja var jag vill ha denna, samt i många fall skydda den. Dels själva enheten med lösenkod eller login, och dels med ett lösenord på själva tvåfaktors-appen.

  6. Då SMS och röst kan ses av operatörer och stater mfl så är det fel enligt mig att dessa ska få reda på vilka tjänster jag loggar in på. 2FA via tex Google Authenticator sker med två/tre klara parter - mig, Google och ev tjänsteleverantör tex Discord.

Följande är jag inte hundra på, men betänk hur den senare är möjlig via social ingenjörskonst:
Att skapa en ny tvåfaktorsanslutning till en tjänst så kräver det användaruppgifter+giltig tvåfaktorskod.
Att byta nummer, vilket folk faktiskt gör ibland, så kan det räcka med ett samtal till kundtjänst.

Tvåfaktorsautentisering via SMS är mindre säkert än andra sätt.

http://twofactorauth.org/ har en bra samling av tjänster som erbjuder 2FA. Även om du inte har ett behov av att skydda något så kan du använda det som en indikator på hurpass säkerhetsmedvetna tjänsteleverantörer är.

Jag tar hellre sms-koden än stannar vid bara ett lösenord om jag måste, men ja – det finns ännu säkrare metoder som förhoppningsvis sprider sig till fler tjänster. Bra inlägg!

Ursprungligen av PaO:

Hur gör du med backup av din mobil?

Tasker kör en Titanium varje gång jag dockar den hemma.

Ursprungligen av Anderlind:

Eller mail.

Egen server.

Ursprungligen av GustafMA:

Egen server.

Det gör väl mest nytta om du bara skickar mail till dig själv lokalt ur säkerhetssynpunkt. I cyberrymden är det inte dina mail mer säkra än någon annan lösning.

  • Medlem
  • 2018-01-27 05:34
Ursprungligen av GustafMA:

Tasker kör en Titanium varje gång jag dockar den hemma.
Egen server.

Där ser man

Mycket intressant ju

Tvärtom för mig kör så mycket Google jag kan förutom NAS lagring i hemmet

Ursprungligen av Anderlind:

Det gör väl mest nytta om du bara skickar mail till dig själv lokalt ur säkerhetssynpunkt. I cyberrymden är det inte dina mail mer säkra än någon annan lösning.

Mina mejl är inte avsedda att vara hemliga. Jag berättar bara hur jag säkerhetskopierar dem utan att dra in Google, Apple, Microsoft eller någon annan smutsig verksamhet i ruljansen, för den som till äventyrs tror att man måste lägga ut sitt digitala liv till tredjepartsbeskådan bara för att man mailar.

  • Medlem
  • 2018-01-28 12:47
Ursprungligen av GustafMA:

Mina mejl är inte avsedda att vara hemliga. Jag berättar bara hur jag säkerhetskopierar dem utan att dra in Google, Apple, Microsoft eller någon annan smutsig verksamhet i ruljansen, för den som till äventyrs tror att man måste lägga ut sitt digitala liv till tredjepartsbeskådan bara för att man mailar.

Intressant läsning

Hur gör du med lösenord mm?

  • Medlem
  • Trondheim
  • 2018-01-28 13:02
Ursprungligen av Ida Blix:

Det händer att ”ointressanta” privatpersoner blir ”id-kapade” eller vad kvällspressen brukar kalla det å exempelvis får räkningar för grejer de inte köpt. Eller varför inte att någon loggar in på ens konto på FB och skickar massa skit till ens vänner. Säger inte att det kommer hända något hemskt eller ens något alls om man kör med ”123456” över allt, det finns kändisar å andra att ge sig på som är mer troliga att drabbas på olika sätt, men det är enligt min mening dumt att inte säkra upp åtminstone viktiga delar av sitt nätliv – särskilt när det är så här enkelt att göra och använda.

Men det viktigaste är att känna till möjligheterna som finns och sen – som du – göra ett medvetet val. Jag tror att det ser ut så här som hos Google främst av okunskap.

Det är av samma anledning jag prövar att hålla "hög" säkerhet. Inte för att jag tror att mitt liv är intressant för någon annan. Men, för att det är viktigt för mig och därmed kan hållas som gisslan för pressa mig på pengar för att få tillbaka det.

Som digital pirat så måste det ju vara lättare att anfalla 10 000 svenssons är 1 eller 2 kändisar för att pressa dem på pengar.

Ursprungligen av Ida Blix:

Det händer att ”ointressanta” privatpersoner blir ”id-kapade” eller vad kvällspressen brukar kalla det å exempelvis får räkningar för grejer de inte köpt. Eller varför inte att någon loggar in på ens konto på FB och skickar massa skit till ens vänner. Säger inte att det kommer hända något hemskt eller ens något alls om man kör med ”123456” över allt, det finns kändisar å andra att ge sig på som är mer troliga att drabbas på olika sätt, men det är enligt min mening dumt att inte säkra upp åtminstone viktiga delar av sitt nätliv – särskilt när det är så här enkelt att göra och använda.

Men det viktigaste är att känna till möjligheterna som finns och sen – som du – göra ett medvetet val. Jag tror att det ser ut så här som hos Google främst av okunskap.

ID kapad blir man ändå. Det har ju inte så mycket med lösenord att göra som att vårt folkbokföringsregister - där ditt personnummer finns - är offentligt.

1
Bevaka tråden