Tvåfaktorsautentisering ökar väsentligt säkerheten för ett konto jämfört med enbart lösenord, men om autentiseringen sker över mobilnätet och en mobiloperatör ökar risken jämfört med en autentiseringsapp eller hårdvarunyckel. Den som tillhandahåller den tjänst dit användarna ska logga in har helt enkelt inte kontroll över kommunikationen över mobiloperatörens nätverk eller säkerhetspolicys.

I Sverige blev detta uppmärksammat när TechWorld ”hackade” ett Google konto genom att be om att få en säkerhetskod uppläst över telefon. Googles robot ringde upp det i kontot angivna telefonnumret, men vi hade innan dess sett till att vidarekoppla det angivna numret genom att ringa den aktuella teleoperatörens kundtjänst. Det har även hänt att obehöriga kunna kvittera ut sim-kort tillhörande en annan persons abonnemang utan att behöva legitimera sig. Detta har nu stoppats av de svenska teleoperatörerna, men i många andra länder kvarstår problematiken.

Google har nu infört en funktion i administratörsgränssnittet för G Suite där administratörerna kan stänga av möjligheten för organisationsanvändare att få säkerhetskoder skickade till sig via sms eller att få den uppringd. Detta just för att motverka den svaga länken över teleoperatörernas system.

Rekommendationen, men inget tvång, från Google är nu att endast använda tvåfaktorsautentisering med hjälp av hårdvarunycklar, Google-appen eller den för ändamålet särskilt utvecklade appen Google Authenticator, eftersom dessa är betydligt säkrare metoder än sms och/eller samtal.

g suite
Inställningarna för tvåfaktorsautentisering i G Suite.

Google skriver i ett uttalande att ”eftersom medvetenheten om sårbarheterna associerade med koder per sms och röstsamtal har ökat, har vissa administratörer [av G Suite] bett oss om att få ökad kontroll över telefonbaserad tvåstegsverifiering för deras organisationer. Den nya versionen av G Suite gör exakt det - administratörer får tillgång till en policy som stödjer multifaktorautentisering utan att tillåta verifieringskoder över samtal eller sms".

Om en organisation som använder verifiering per sms eller röstsamtal stänger av dessa alternativ kommer det resultera i att de användare som använder dessa metoder inte kommer att kunna logga in. Google har av den anledningen tagit fram en guide för G Suite-administratörer.

De nya inställningarna i administratörskonsolen för G Suite finns tillgängliga för alla versioner av G Suite, men de slås inte på automatiskt, utan administratörerna måste manuellt välja att tillämpa policyn på OU- eller gruppnivå. Google började rulla ut den nya funktionen i går den 14 mars, och utrullningen beräknas fortgå under upp till 15 dagar.

Läs också:
Vi hackade ett Google-konto på fem minuter – tack vare teleoperatörens slarv
Google släpper FIDO2 för Android – en miljard användare kan slippa lösenord
Microsoft: Skippa brandväggen – den har spelat ut sin roll