Tofaktor eller faktor 15?

smartphone-bank
Hva skjer med tofaktor autentisering når man plutselig bruker smarttelefonen til alt?

Det finnes mange banker (bl.a. Skandiabanken) som benytter seg av mobiltelefonen som en ekstra autentiseringsfaktor ved innlogging – etter at du har oppgitt brukernavn og passord, sender de deg en engangskode på SMS som du så oppgir til nettbanken. Dermed mener de at de har beskyttet deg mot slemme mennesker som kan ha lurt fra deg nettbankpassordet, enten via phishing, eller via ondartet kode på datamaskinen din. Tanken er at selv om noen har passordet ditt, så har de ikke telefonen din, og kan følgelig ikke tappe kontoen din, ettersom de ikke har noen mulighet til å få tak i den siste biten i puslespillet; engangskoden på SMS.

Men hva om du bruker nettbanken fra samme telefon som du mottar SMS på? Et smarttelefonvirus vil kunne lure til seg dine passord, og kan siden tappe bakkontoen din ved å logge seg på nettbanken, få tilsendt SMS, og bruke den mottatte koden som endelig bekreftelse – alt uten at du trenger å merke noen ting; til og med varsling av mottatt SMS kan viruset skru av.

Hvordan kan disse slemme menneskene få ondartet kode på telefonen din, spør du kanskje. Svaret på dette er kjempeenkelt, som våre venner i Handcent har vist oss. Det er et velkjent faktum at hvis brukere må velge mellom sikkerhet og dansende griser, så velger de dansende griser hver gang. Oversatt: Den jevne bruker er mer opptatt av hvor kul en app er enn hvor sikker den er, og installerer gladelig all slags tvilsom programvare på telefonen, spesielt hvis det er gratis.

Konklusjonen er så enkel som den er sørgelig: Skal du bruke en mobiltelefon som en to-faktor autentiseringsløsning bør den være så enkel at du ikke kan bruke den til stort mer enn å motta SMS og å snakke i…

Takk til Bård Myhre for nok en spennende problemstilling!

Illustrasjon ved Flickr-bruker IntelFreePress (CC BY-SA 2.0)