Att logga in i två steg har redan länge varit ett bra alternativ för den som vill höja sin säkerhet på internet. Den nyaste formen av tvåstegsverifiering är extra säker och borde användas av betydligt fler, säger experter.
Tvåstegsverifiering handlar om att logga in med hjälp av något man vet, såsom ett lösenord, och med något man har, såsom en särskild apparat.
Traditionellt har användaren då i tillägg till sitt lösenord använt en engångskod i mobilen. Koden har kunnat komma per textmeddelande eller så har den räknats ut av en särskild autentiseringsapp såsom Google authenticator.
Att aktivera någon form av tvåstegsverifiering höjer säkerheten betydligt, påpekar IT-experter, eftersom det minskar risken att råka ut för massiva hackerattacker.
Det vanliga rådet att ha unika lösenord på ens användarkonton gäller också fortfarande, men ger inte alltid ett tillräckligt skydd.
Cybersäkerhetscentret vid nuvarande Transport- och kommunikationsverket Traficom påpekade redan år 2016 för Svenska Yle att man borde använda tvåstegsverifiering på alla de användarkonton som erbjuder det.
Särskilt viktigt är det enligt myndigheten på ens e-postkonto.
Men tvåstegsverifiering som bygger på ett engångslösenord i mobilen är inte den säkraste lösningen även om den är mycket bättre än att inte logga in i två steg.
– Den tilläggssäkerhet som bygger på din telefon är just så säker som hur du hanterar din egen telefon; vilka appar du laddar in dit och så vidare. Telefonen är ett större hot mot din identifieringsinformation än vad en helt separat nyckel är, säger Thomas Malmberg som är IT-säkerhetskonsult på företaget Mint Security.
Ökad säkerhet
Systemet Malmberg och många andra IT-experter förespråkar handlar i praktiken om en nyckel man kan koppla till en mobiltelefon eller dator.
Det sker oftast via en USB-port, men kan också ske trådlöst. Nyckeln förser sedan tjänsten med ett engångslösenord, med hjälp av en egen algoritm.
Allt fler vanliga internettjänster har börjat stöda fysiska säkerhetsnycklar: till exempel Google, Facebook, Twitter med flera.
En sådan här nyckel kostar vanligen mellan 30 och 60 euro, och säljs av företag såsom Yubico och Google.
– Det är helt enkelt så att det passar för den som vill ha mer säkerhet på sin egen digitala identitet. Det är inte så svårt att börja använda heller. Jag skulle rekommendera att alla som använder internettjänster överväger den här möjligheten, säger Malmberg.
Han säger alltså att den ökade säkerheten är viktig för vem som helst, men särskilt viktig i yrken där man hanterar känslig information, såsom för IT-proffs, journalister, läkare och politiker.
– När man har en fysisk nyckel med sig, så det är inte något en hackare kan komma åt om han då inte knycker väskan av dig. Och då är det en riktad attack mot en specifik person.
Oftast behöver man bara visa nyckeln en gång i månaden, eller första gången man loggar in via en ny apparat.
En typisk hackare riktar in sig på många personer samtidigt, och tar sig inte besväret att komma åt en fysisk nyckel. I stället utnyttjar brottslingen svagheter i datasystemen.
Samtidigt är det ändå en balansgång för användaren. Hur mycket tid och besvär vill man satsa på att bevisa vem man är, när man loggar in i olika tjänster, jämfört med det man är ute efter att skydda?
Kan också logga in helt utan lösenord
Flera moderna säkerhetsnycklar kan också ställas in så att de loggar in utan att användaren anger ett lösenord. Då räcker det alltså med användarnamn och den fysiska nyckeln. En standard som möjliggör det här kallas för FIDO2.
– I själva verket är det både elegant och relativt lättanvänt. När säkerheten blir lättanvänd innebär det också att den blir ofta använd. Fler tar den i bruk vilket innebär att det blir en höjd säkerhet genom att standarderna blir mer och mer vardagliga.
Inloggning med endast nyckel gör också att risken för hackerattacker på distans minskar, men samtidigt ökar risken för lokala attacker.
Om någon stjäl ens FIDO2-inställda nyckel så kan han eller hon logga in på ens användarkonton, om de känner till vilka konton man har.
Glöm inte reservnyckeln
Malmberg påpekar att det alltid lönar sig att registrera minst två säkerhetsnycklar i varje webbtjänst som stöder det, och att man sedan borde förvara nycklarna på helt olika ställen.
Då har man en säkerhetskopia och kan fortsättningsvis logga in om någon stjäl den ena nyckeln, eller om man tappar bort den.
– Det är nog en jättebra metod. Samma gäller ju också med ens hemnyckel. Det lönar sig att ha en reservnyckel och att veta var den finns.
De flesta webbtjänster erbjuder också reservsystem som ska göra att man inte utestängs från sitt användarkonto. Man kan till exempel skriva ut engångslösenord på papper.