Microsoft advarer mot totrinnsbekreftelse via SMS

Når du logger på Gmail, Apple-ID eller andre kontoer, er det sikrest å bruke totrinnsbekreftelse.

Du kjenner sikkert løsningen fra BankID. Den går ut på at du bruker en selvvalgt kode kombinert med en engangskode som du får i en tekstmelding på mobilen.

Nå viser det seg at dette likevel ikke er så sikker som antatt, i hvert fall ikke hvis du bruker tekstmelding til å verifisere innloggingen.

Koden sendes ukrypteret

Lederen for identitetssikkerhet hos Microsoft går nemlig ut med en direkte advarsel mot å bruke SMS til totrinnsbekreftelser.

Ifølge Alex Weinert fra Microsoft er tekstmeldinger ikke sikre nok fordi de sendes i klartekst uten kryptering, og dermed kan hackere få tak i passordene dine.

Det er allerede demonstrert flere metoder som viser hvordan en hacker kan plassere seg mellom serveren som sender engangskodene og telefonen som mottar dem.

Du bør likevel bruke totrinnsbekreftelse

Microsoft råder deg imidlertid ikke til å unngå totrinnsbekreftelse. Du bør fremdeles logge deg inn med to forskjellige koder, bare ikke med tekstmelding.

Du kan endre hvordan du logger deg inn på for eksempel Gmail eller Microsoft-kontoen under kontoinnstillingene.

I stedet for å motta engangskodene i en tekstmelding kan du laste ned en app som sender dem i kryptert form.

Google har sin egen app som heter Google Authenticator, mens Microsofts heter Microsoft Authenticator.

> Last ned Microsoft Authenticator

> Last ned Google Authenticator

Du kan også finne appene i de respektive app-butikkene.

Komputer for alle anbefaler at du installerer den komplette sikkerhetspakken vår på pc-en. Med den er du sikret mot de fleste digitale trusler. Les mer om Sikkerhetspakken.