En enkel måte å forklare totrinnspålogging på er å kalle det en dobbel lås. Der passordet ditt åpner den ene låsen, vil en engangskode åpne lås nummer to, og det fungerer som en ekstra bekreftelse på din identitet når du logger deg inn på en tjeneste. Totrinnspålogging gjør kontoen din sikrere fordi det hindrer uvedkommende å logge inn på din konto, selv om de kjenner til ditt passord.
Når du skal logge inn på en tjeneste på internett, for eksempel en banktjeneste eller sosiale medier, må du identifisere deg. Du må bevise at du er den du utgir deg for å være. Tradisjonelt har dette vært gjort med brukernavn og passord. Det har dessverre vist seg at brukernavn og passord kan komme på avveie og bli brukt til svindel og kriminell virksomhet. For å forhindre det og forbedre sikkerheten er forskjellige løsninger for totrinnspålogging introdusert.
Ulike sikkerhetsnivåer
De forskjellige digitale tjenestene vi bruker, har ulike sikkerhetsnivå. Nettbankene benytter det høyeste sikkerhetsnivået. Det betyr at de krever at du bruker totrinnspålogging for i det hele tatt å slippe inn, og at du bruker det hver gang du skal inn i nettbanken.
Sosiale medier som Facebook og Instagram tilbyr også muligheten for å beskytte kontoen med totrinnspålogging, men dette er ikke et krav de stiller for at du skal kunne bruke tjenesten.
En annen viktig forskjell mellom banker og sosiale medier er at det i sosiale medier holder å identifisere seg på to måter den første gangen etter at man har skrudd på totrinnspålogging. Neste gang kan du logge på som vanlig. Tjenesten vil bare be om dobbel identifisering igjen dersom du vil logge inn fra en annen maskin enn den du vanligvis bruker.
Hvordan ta i bruk totrinnspålogging?
Det varierer fra nettsted til nettsted hvordan du skrur på totrinnspålogging. Som regel aktiveres det under innstillinger i tjenesten, hvor du også kan velge hvilken metode du vil bruke. Noen tjenester tilbyr å bruke engangskoder via SMS, mens andre ber deg bruke en app.
Appene er sikrere og mer pålitelige enn SMS-løsningen. Den mest brukte er kanskje Google Autenticator. I tillegg har vi Authy som har litt ekstra funksjonalitet. Microsoft har sin egen løsning som de bruker til sine tjenester, kalt Microsoft Authenticator. Du kan lese mer om autentiseringsapper her. Vær nøye på å laste ned apper fra den offisielle app-butikken på mobilen.
I tillegg finnes det forskjellige typer fysiske «nøkler» som kan kobles til forskjellige enheter som for eksempel PC-er og mobiler. En slik nøkkel kan for eksempel være utstyrt med en fingeravtrykksleser slik at du kan bekrefte identitieten din på den måten. Disse nøklene gir mulighet for totrinnspålogging og anses som den mest sikre metoden. Nøklene er ofte basert på en standard som heter FIDO2.
Vi har laget veiledninger for hvordan du kan aktivere totrinnspålogging på en rekke populære nettsteder. Disse veiledningene finner du her.
Kjært barn? Mange navn, i hvert fall
Vi har valgt å benytte begrepet totrinnspålogging. Det finnes imidlertid en rekke andre betegnelser på den samme funksjonaliteten. Det kan være totrinnsbekreftelse, tofaktorautentisering, to-faktor, 2FA, 2-trinnsverifisering, multifaktorverifisering eller MFA.
Det at begrepet har mange ulike betegnelser, kan virke forvirrende. Som med flere andre fagbegreper innenfor informasjonssikkerhet skyldes det oversettelse fra engelsk. Uavhengig av hva man kaller det, er prinsippet det samme: et ekstra lag med bekreftelse, og dermed et ekstra lag med sikkerhet.