Gärna Authy men inte Twitter-verifiering med SMS

I det senaste poddavsnittet tipsade vi om att Twitter nu låter oss använda tvåstegsverifiering utan att behöva förlita oss på SMS. Twitter har länge erbjudit två starkare metoder för tvåstegsverifiering (Google Authenticator och hårdvarunycklar) men dessa har enbart kunnat användas i kombination med SMS-metoden. För att kunna använda tvåstegsverifiering med Google Authenticator-metoden har Twitter-användare också behövt ha SMS-metoden aktiv, vilket därigenom sänkt säkerhetsnivån till SMS-säkerhet. Numera är det inget krav, och de som redan har aktiverat tvåstegsverifiering med starkare metoder kan stänga av den mindre säkra SMS-metoden.

Twitters inställningar för tvåstegsverifiering
Twitter stödjer nu tvåstegsverifiering utan krav på SMS.

Med anledning av poddinslaget dök en följdfråga upp i Säkerhetsbubblan. Frågeställaren undrade hur vi kunde rekommendera tvåstegsverifieringsappen Authy (som förlitar sig på SMS för identifiering) samtidigt som vi avråder från SMS-tvåstegsverifiering. Här följer svaret.

Rekommendationen av Authy

När det gäller SMS för tvåstegsverifiering så vet vi att det kan missbrukas på grund av säkerhetsbrister i mobilnäten och möjligheten att lura operatören att ge ut ett nytt simkort till fel person. Det är av denna anledning som vi avråder från att använda SMS för tvåstegsverifiering när alternativ finns (tvåstegsverifiering via SMS är bättre än ingen tvåstegsverifiering alls).

Tvåstegsverifiering via Google Authenticator-metoden (TOTP) är betydligt säkrare, men kräver att användaren har koll på sina tvåstegsverifieringshemligheter som används för att generera de tidsbegränsade tvåstegsverifieringskoderna. För att slippa problem vid byte av mobil (eller om mobilen tappas bort) rekommenderar vi Twilio-ägda Authy som säkerhetskopierar tvåstegsverifieringshemligheterna om användaren vill det. Då får användaren välja ett lösenord som Authy använder för att kryptera tvåstegsverifieringshemligheterna på mobilen. De laddas sedan upp i krypterad form till Authys servrar.

När användaren vill återställa sina tvåstegsverifieringshemligheter räcker det att användaren installerar Authy-appen på en ny mobil med samma mobilnummer. Då får han eller hon ett SMS med en kod som identifierar användaren som den rätta ägaren av det aktuella numret. Efter att ha angett SMS-koden laddas alla tvåstegsverifieringshemligheter ned till mobilen i krypterad form. Innan användaren kan se dem måste han eller hon dekryptera dem med lösenordet som användaren själv valde vid aktiveringen av säkerhetskopieringen.

Det avgörande i det här sammanhanget är att lösenordet som används vid kryptering och dekryptering lämnar aldrig användarens mobil. Om en angripare drar nytta av mobilnätets svagheter för att ladda ned de krypterade tvåstegsverifieringshemligheterna så är ändå ingen skada skedd. Angriparen kan inte dekryptera dem utan lösenordet.

Vissa anser att nödåtkomstkoderna som brukar genereras vid aktivering av tvåstegsverifiering med Google Authenticator-metoden gör säkerhetskopiering överflödig. Undertecknad håller inte med om detta (men vår lärplattform genererar självfallet ändå nödåkomstkoder för de som vill ha det). Det gör nämligen byte av mobil orimligt krångligt för normalanvändare, vilket i sin tur riskerar leda till att normalanvändarna inaktiverar tvåstegsverifiering eller använder mindre säkra metoder för tvåstegsverifiering.

Mer information om tvåstegsverifiering med Authy och andra metoder finns i Bli säker-boken kapitel 11 till 13.