Ved å bruke OTP (One-Time-Password) eller 2FA (2-faktor autentisering) så sikrer man kontoene sine MYE.
Det er fort gjort å miste passord og det er kritisk om passordene dine blir borte og at andre kan logge inn på dine kontoer.
Det kan være Gmail, Facebook, App store, og mye mere.
Nettbankene har allerede BankID som sånn sett er en 2FA høy sikkehet.
.
Her er en oversikt over nivåer på sikkerhet ved bruk av de forskjellige nivåene.
.
Her er en enkel tabell som rangerer ulike innloggingsmetoder basert på sikkerhetsnivå og fare for misbruk, fra svakest til sterkest: Sikkerhetsnivå og fare for ulike innloggingsmetoder
| Innloggingsmetode | Sikkerhetsnivå (1–5) | Beskrivelse | Fare for misbruk |
|---|---|---|---|
| Kun passord | 1 (Svakest) | Bare et statisk passord. | Høy risiko for phishing, datalekkasjer, brute force-angrep. |
| Passord + e-post | 2 | E-postkode sendes til e-postadressen din. | E-post kan avlyttes eller kapres, koder kan fanges opp av angripere. |
| Passord + SMS | 2–3 | Engangskode sendes via SMS. | SMS kan avlyttes, SIM-swap-angrep, phishing. |
| Passord + OTP-app | 4 | Engangskode genereres i en app (f.eks. Google Authenticator, Microsoft Authenticator). | Lav risiko, men avhengig av telefonens sikkerhet. |
| BankID (mobil) | 4–5 | Kombinerer noe du vet (passord/PIN) og noe du har (mobilen). | Svært lav risiko, men kan utsettes for avansert phishing eller svindel. |
| Fysisk nøkkel (YubiKey) | 5 (Stærkest) | Krever fysisk tilgang til en USB-nøkkel eller NFC-enhet. | Meget lav risiko, men kan mistes eller stjeles. |
Forklaring:
- Passord alene er det svakeste alternativet, da det er utsatt for mange angrepstyper.
- Passord + e-post/SMS er bedre, men e-post og SMS er sårbare for avlytting og SIM-swap.
- Passord + OTP-app er mye sikrere, da kodene genereres lokalt og ikke sendes over nettet.
- BankID regnes som svært sikkert i Norge, da det kombinerer flere faktorer og er godkjent på høyt sikkerhetsnivå, men kan utsettes for avanserte svindelmetoder.
- Fysisk nøkkel (f.eks. YubiKey) er det sikreste, da angriperen må ha fysisk tilgang til nøkkelen for å logge inn.
.
Her er en liste med mange 2FA / OTP applikasjoner.
.
Her er en oppdatert tabell med de mest brukte OTP/2FA-appene, inkludert utviklerselskap og opprinnelsesland: Topp OTP / 2FA apper med utvikler og opprinnelsesland
| App-navn | Plattform | Utvikler | Land | Beskrivelse |
|---|---|---|---|---|
| Google Authenticator | Android, iOS | Google LLC | USA | En av de mest populære OTP-appene, genererer tidsbaserte engangskoder uten internett-tilkobling. |
| Microsoft Authenticator | Android, iOS | Microsoft Corporation | USA | Støtter både koder og push-baserte godkjenninger, integrert med Microsoft-kontoer. |
| Authy | Android, iOS | Twilio Inc. | USA | Tilbyr sikkerhetskopiering og flerenhetsstøtte, populær for både personlig og bedriftsbruk. |
| LastPass Authenticator | Android, iOS | GoTo (tidl. LogMeIn) | USA | Integrert med LastPass-passordhåndterer, enkelt å bruke sammen med andre tjenester. |
| 1Password | Android, iOS | AgileBits Inc. | Canada | Passordhåndterer med innebygd OTP-generering. |
| Bitwarden | Android, iOS | Bitwarden Inc. | USA | Åpen kildekode, støtter OTP-generering og sikker lagring. |
| Duo Mobile | Android, iOS | Cisco Systems | USA | Brukes mye i bedriftsmiljøer, støtter push-varsler og OTP. |
| FreeOTP | Android, iOS | Red Hat | USA | Åpen kildekode, enkel og uten ekstra funksjoner. |
| andOTP | Android | Open Source | Internasjonalt | Åpen kildekode, fokuserer på sikkerhet og personvern. |
| TOTP Authenticator | Android, iOS | Various (Open Source) | Internasjonalt | Enkel og brukervennlig, støtter flere kontoer. |
| Aegis Authenticator | Android | Beem Development | Nederland | Åpen kildekode, med fokus på sikkerhet og lokal lagring. |
| Yubico Authenticator | Android, iOS | Yubico | Sverige/USA | Utviklet av Yubico, støtter YubiKey-enheter for ekstra sikkerhet. |
| Twilio Authy | Android, iOS | Twilio Inc. | USA | Tidligere kjent som Authy, nå eid av Twilio, med flerenhetsstøtte. |
| SAASPASS | Android, iOS | SAASPASS | Israel | Kombinerer passordhåndtering og OTP i én app. |
| Sophos Authenticator | Android, iOS | Sophos Ltd. | Storbritannia | Brukes ofte i bedriftsmiljøer, støtter push-varsler. |
| Salesforce Authenticator | Android, iOS | Salesforce.com | USA | Integrert med Salesforce-tjenester, men kan brukes til andre kontoer også. |
| Okta Verify | Android, iOS | Okta Inc. | USA | Brukes mye i bedriftsmiljøer, støtter push-baserte godkjenninger. |
| RSA SecurID | Android, iOS | RSA Security (Dell) | USA | Brukes i store organisasjoner, støtter både OTP og push. |
| Symantec VIP | Android, iOS | Broadcom (Symantec) | USA | Brukes av bedrifter, støtter OTP og push-varsler. |
| FortiToken | Android, iOS | Fortinet Inc. | USA | Utviklet av Fortinet, mye brukt i bedriftsmiljøer. |
| WatchGuard Authenticator | Android, iOS | WatchGuard Technologies | USA | Støtter OTP og push-varsler, brukt i bedriftsmiljøer. |
| ESET Secure Authentication | Android, iOS | ESET, spol. s r.o. | Slovakia | Tilbyr OTP og push-varsler, integrert med ESETs sikkerhetsløsninger. |
| PingID | Android, iOS | Ping Identity | USA | Brukes i bedriftsmiljøer, støtter biometrisk autentisering. |
| SecureAuth | Android, iOS | SecureAuth Corporation | USA | Tilbyr adaptiv autentisering og OTP. |
| HDE OTP | Android, iOS | HDE Inc. | Sør-Korea | Enkel OTP-app med støtte for flere kontoer. |
| WinAuth | Windows | Open Source | Internasjonalt | OTP-app for Windows-enheter. |
| KeePassDX | Android | Kunzisoft | Tyskland | Passordhåndterer med OTP-støtte, åpen kildekode. |
.
Har dette med landet de kommer fra noen sikkerhetstrussel?
.
Nei, opprinnelseslandet til en OTP/2FA-app utgjør ikke i seg selv en direkte sikkerhetstrussel, men det kan være noen indirekte faktorer å vurdere:
.
1. Jurisdiksjon og datalagring
.
- Lokale lover: Noen land har lover som krever at data kan overleveres til myndigheter (f.eks. USA med CLOUD Act, Kina med nasjonale sikkerhetslover). Dette kan teoretisk påvirke personvernet dersom appen lagrer sensitive data (som backup av OTP-nøkler) på selskapets servere. De fleste OTP-apper genererer imidlertid koder lokalt på enheten, uten å sende dem over nettet, så dette er sjelden et stort problem for OTP-generering i seg selv.
- Åpen kildekode: Apper som andOTP, Aegis, FreeOTP og Bitwarden er åpen kildekode, noe som betyr at koden kan inspiseres av uavhengige sikkerhetseksperter. Dette reduserer risikoen for skjulte bakdører eller overvåking, uavhengig av opprinnelsesland.
.
2. Selskapets rykte og praksis
.
- Pålitelighet: Etablerte selskaper (f.eks. Google, Microsoft, Yubico) har strenge sikkerhetsrutiner og gjennomgår regelmessige revisjoner. Mindre kjente selskaper eller apper fra land med streng statlig kontroll kan være mer usikre hvis de ikke er transparente om hvordan de håndterer data.
- Serverbaserte tjenester: Dersom en app lagrer eller synkroniserer OTP-nøkler på skyen (f.eks. Authy med backup-funksjon), kan jurisdiksjonen til serverne være relevant. Her bør du sjekke om data krypteres ende-til-ende og om selskapet har en god track record for personvern.
.
3. Praktiske anbefalinger
.
- Velg åpen kildekode: Apper som andOTP, Aegis eller Bitwarden lar deg verifisere at det ikke er skjulte funksjoner.
- Unngå cloud-backup: Hvis du bruker en app som tilbyr skybackup (f.eks. Authy), vurder om du virkelig trenger det. Lokale apper som Aegis eller FreeOTP lagrer kun data på din enhet.
- Sjekk tillatelser: En OTP-app bør ikke be om unødvendige tillatelser (f.eks. tilgang til kontakter, SMS eller lokalisering).
.
4. Eksempler på trygge valg
.
- Google Authenticator (USA): Genererer koder lokalt, ingen cloud-sync.
- Aegis Authenticator (Nederland, åpen kildekode): Kryptert lokal lagring, ingen serveravhengighet.
- Yubico Authenticator (Sverige/USA): Støtter fysiske nøkler (YubiKey) for ekstra sikkerhet.
Konklusjon: Opprinnelseslandet er mindre viktig enn hvordan appen fungerer teknisk (lokal generering vs. serveravhengighet) og selskapets rykte. De fleste OTP-apper er trygge så lenge de genererer koder lokalt og ikke sender sensitive data over nettet. Hvis du er ekstra forsiktig, velg åpen kildekode eller apper fra selskaper med god omdømme og transparent praksis.
Legg igjen en kommentar