Säkra Zoom-kontot med tvåfaktors­autentisering

Under den gångna veckan fick den populära videkonferenstjänsten Zoom stöd för tvåfaktorsautentisering. Detta säkerhetshöjande skydd kan nu aktiveras av alla användare, oavsett om de kör med gratis- eller betalversionen av Zoom.

För att logga in på ett konto som skyddas med tvåfaktorsautentisering krävs både rätt lösenord och rätt engångskod, vilket på så vis förhindrar kontokapning via breda nätfiskeattacker. På en videokonferenstjänst som Zoom är det extra viktigt att ha hög kontosäkerhet, inte bara för ens egen skull utan också för kollegornas skull. I webbmöten måste alla kunna lita på att de anslutna deltagarna faktiskt är personerna som de utger sig för att vara; inte bara bedragare som har lyckats komma över någons inloggningsuppgifter. Vi rekommenderar därför att aktivera tvåfaktorsautentisering samt att tipsa alla kollegor om att göra samma sak.

Tips! Organisationsadministratörer kan forcera aktivering av tvåfaktorsautentisering för organisationens användare. Läs mer om detta hos Zoom.

Det är lätt att aktivera tvåfaktorsautentisering hos Zoom. Tjänsten stödjer både tvåfaktorsautentisering med SMS-metoden och med Google Authenticator-metoden. Vi förespråkar den sistnämnda metoden eftersom den är säkrare, både ur ett tekniskt perspektiv och ur ett driftperspektiv. SMS-metoden är dock bättre än ingen tvåfaktorsautentisering alls.

Aktivera tvåfaktorsautentisering

Så här aktiverar du tvåfaktorsautentisering med Google Authenticator-metoden, det vill säga samma metod som vi använder för att skydda konton på Nikka Systems Academy.

Börja med att ladda ned en tvåfaktorsautentiseringsapp om du inte redan har en. Vi rekommenderar kostnadsfria Twilio Authy som finns till både Iphone och Android. Fördelen med Authy-appen är att den låter dig säkerhetskopiera dina tvåfaktorsautentiseringshemligheter. Det förhindrar att du blir utelåst om du skulle tappa bort din mobil.

Logga därefter in på Zoom via webbläsaren på datorn, klicka på din profilbild och välj Profile (direktlänk). Klicka på Turn on vid Two-factor Autentication och välj Set up Authentication app.

Profilinställningar i Zooms webbapp.
Klicka på att aktivera tvåfaktorsautentisering.

Öppna Authy-appen på mobilen och skanna QR-koden som visas på datorskärmen. QR-koden innehåller din tvåfaktorsautentiseringshemlighet som används för att generera engångskoderna. Fyll avslutningsvis i den aktuella engångskoden som visas i mobilappen.

QR-kod för aktivering av tvåfaktorsautentisering på Zoom.
Skanna QR-koden som visas i din dators webbläsare.

När konfigurationen är klar visas en uppsättning nödåtkomstkoder. Dessa kan du använda för att logga in om du saknar tillgång till din Authy-app. Nödåtkomstkoderna är framförallt viktiga att spara om du väljer en tvåfaktorsautentiseringsapp som inte säkerhetskopierar dina tvåfaktorsautentiseringshemligheter.

Nödåtkomstkoder till Zoom.
Spara nödåtkomstkoderna om du använder en annan app än Authy.

Tips! Mer information om tvåfaktorsautentisering finns i Bli säker-boken. Observera att vi i Bli säker 2019 gjorde åtskillnad på tvåfaktorsautentisering och tvåstegsverifiering. För att gå i linje med teknikbranschen har vi tagit bort denna distinktion och använder nu tvåfaktorsautentisering som ett samlingsbegrepp.

Bristen med Zooms tvåfaktorsautentisering

Google Authenticator-metoden är en säker tvåfaktorsautentiseringsmetod, men Zoom har tyvärr inte implementerat den på säkrast möjliga vis. Om en användare har glömt sitt lösenord kan han eller hon begära en återställningslänk, vilken då skickas till hans eller hennes e-postkonto. Den länken är allt som behövs för att kringgå och inaktivera tvåfaktorsautentiseringen på Zoom-kontot.

Lösenordsåterställningsmejl från Zoom
Zooms tvåfaktorsautentisering skyddar inte vid lösenordsåterställning.

Denna brist innebär att en angripare som får åtkomst till det kopplade e-postkontot kan logga in på Zoom. Angriparen behöver varken tillgång till tvåfaktorsautentiseringsappen eller någon av nödåtkomstkoderna. Av denna anledning är det viktigt att tänka på säkerheten i hela kedjan och också aktivera tvåfaktorsautentisering på det berörda e-postkontot.

Hävd avrådan

I våras ertappades Zoom med att ljuga om hur deras säkerhetsmodell fungerade. Det blev droppen som fick bägaren att rinna över och vi utfärdade en uttrycklig avrådan från att använda Zooms tjänst.

Sedan dess har Zoom visat att de tar säkerheten på allvar. De senaste månadernas förbättringar och det nya stödet för tvåfaktorsautentisering får oss nu att häva vår tidigare avrådan. Detta innebär inte att vi rekommenderar Zoom, men vi avråder inte längre från tjänsten och vi lägger till den på listan över videokonferenstjänster som vi erbjuder distansutbildningar över.

Som vanligt när det gäller digitala tjänster handlar det om att välja tjänst efter säkerhetsbehov och skyddsvärde. Mer information om detta finns att läsa hos Internetstiftelsen. Där finns också en artikel med fyra allmänna tips kring säkerhet i videokonferenser.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

  1. Karl Emil Nikka

    Observera att den ovannämnda bristen ligger i Zooms implementation och inte i själva Google Authenticator-metoden. Återställningslänkar från vår lärplattform (Nikka Systems Academy) kringgår inte tvåfaktorsautentiseringen.

Kommentar