Tiktok är sämst

Våra konton på sociala medier är några av våra mest skyddsvärda konton. Om någon utomstående lyckas logga in som oss kan han eller hon göra allt från att läsa våra direktmeddelanden till att publicera inlägg i vårt namn. Det är därför av högsta vikt att vi skyddar våra sociala medier-konton väl. Detta gäller inte minst dagens influensers som livnär sig på att synas på dessa plattformar.

Ändamålsenligt skydd för sociala medier

Vi har undersökt hur väl de stora sociala medie-jättarna låter oss skydda våra konton på deras plattformar. Vi har kollat på Facebook, Twitter, Instagram, Linkedin, Snapchat och Tiktok. Av dessa plattformar lever alla utom en upp till våra krav som kan sammanfattas med:

  • möjlighet att ha ett starkt lösenord med 16 tecken
  • möjlighet att aktivera tvåstegsverifiering
  • möjlighet att använda annan metod för tvåstegsverifiering än SMS utan att också ha SMS som en aktiv tvåstegsverifieringsmetod.

Vi vill alltså kunna logga in med ett starkt och unikt lösenord. Vi vill också kunna kräva att lösenordet kombineras med en säkerhetsnyckel (t.ex. Yubikey) eller en tidsbegränsad kod som genereras av en app eller skickas via SMS. Eftersom SMS-metoden är lättare att komma igång med, men långt ifrån lika säker som de alternativa metoderna, vill vi också att användare som eftersträvar högsta skydd ska kunna välja bort SMS-metoden. Läs mer om bakgrunden till detta i artikeln Gärna Authy men inte Twitter-verifiering med SMS.

Tiktok är sämre än konkurrenterna

Plattformen som utmärker sig i negativ bemärkelse är ungdomspopulära Tiktok. Till skillnad från konkurrenterna erbjuder de nämligen ingen form av tvåstegsverifiering. Alla de andra plattformarna har både stöd för tvåstegsverifiering via SMS och via mobilappar som Authy och Google Authenticator (utan krav på att ha SMS-metoden aktiv). Både Facebook och Twitter erbjuder dessutom tvåstegsverifiering med säkerhetsnyckel.

Tiktok förlitar sig i stället på ett ensamt lösenord som dessutom tvingas följa utdaterade lösenordsrekommendationer med krav på teckenblandning. Av någon anledning har Tiktok till och med satt en övre gräns på lösenordslängd, någon ingen av de andra plattformarna har gjort.

FacebookTwitterInstagramLinkedinSnapchatTiktok
Kortaste lösenord6 tecken6 tecken6 tecken8 tecken8 tecken8 tecken
Längsta lösenord20 tecken
SMS (2SV)JaJaJaJaJaNej
Authenticator (2SV)JaJaJaJaJaNej
Säkerhetsnyckel (2SV)JaJaNejNejNejNej
  • Kortaste lösenord anger kortast tillåtna lösenord. Facebook, Twitter och Instagram tillåter sex tecken korta lösenord under förutsättning att de inte är simpla teckenserier, t.ex. 123456. Vi rekommenderar minst 12 tecken och gärna 16 tecken.
  • Längsta lösenord anger eventuell gräns på hur långt lösenordet får vara. Sådan gräns bör inte finnas.
  • SMS (2SV) anger om tjänsten stödjer tvåstegsverifiering via SMS. Vi rekommenderar att metoden stöds samt att den kan inaktiveras till förmån för säkrare alternativ.
  • Authenticator (2SV) anger om tjänsten stödjer tvåstegsverifiering via appar som Google Authenticator och Authy. Detta är en rekommenderad metod.
  • Säkerhetsnyckel (2SV) anger om tjänsten stödjer tvåstegsverifiering med säkerhetsnycklar, till exempel Yubikey. Detta är en rekommenderad metod.

Rekommendation

Med anledning av detta rekommenderar vi att undvika Tiktoks inbyggda inloggningsfunktion. Tiktok erbjuder lyckligtvis även inloggning via tredjepartstjänster som Google och Apple. Detta inloggningsförfarande rekommenderar vi vanligtvis inte, men Tiktok utgör ett undantag eftersom de saknar ändamålsenlig säkerhet på sin egen inloggningstjänst.

Tips! Lyssna på förra veckans avsnitt av Bli säker-podden när vi diskuterade Tiktoks inloggningslösning. Då pratade vi även om en säkerhetsbrist i Tiktok-appen som upptäckts av Check Point. Den säkerhetsbristen är nu åtgärdad för alla som har uppdaterat Tiktok-appen till den senaste versionen.