1) Skifte adganagskode? 2) Totrinsbekræftelse?

1) Man bliver opfordret til at skifte adgangskode, helst ofte, men hvorfor egentlig?

Det kan jo være, at en af mine adgangskoder bliver stjålet (til Windows 7, Windows 8 eller HTC smartphone), og at jeg så er så heldig at skifte adgangskode lige efter (uden at vide, at den gamle kode er stjålet)!

MEN! Det kan jo være, at jeg lige har skiftet adgangskode, når en hacker kommer ind i mit system eller min computer eller telefon bliver stjålet, og så er det jo den nye kode, han tager, uden at jeg ved, at jeg så skal skifte kode med det samme igen!

Så altså: Hvor er logikken i at skifte adgangskode, når man ikke ved, hvornår man evt. bliver lænset for sin kode??

2) Man kan bestille totrinsbekræftelse og få en ekstra kode. Fint! Men man kan også sige, at den her specifikke computer er sikker, så der behøver jeg ikke at opgive ekstrakoden, når jeg går ind – men kun min sædvanlige, selvvalgte adgangskode.

Også her er der altså noget, jeg ikke forstår! For hvis nu en, som enten hacker eller stjæler min computer, finder min almindelige adgangskode, så kan han jo skaffe sig adgang uden at kende trin 2 i togtrinsbekræftelsen!

Hvis I altså kan følge mig!

Ville være glad for at høre fra nogen, som mener noget om dette – og evt. kan berolige mig, så at sige! Altså fortælle mig, at min logiske sans ikke er så fantastisk, som jeg selv tror … !:)

Jeg venter spændt på respons! Tak!:)

1) Ideen med at skifte adgangskode ofte er, at du på den måde minimerer sandsynligheden for, at den kode som en kriminel måtte få fat i, faktisk fungerer. Jo oftere du skifter koden, desto mindre er sandsynligheden for, at den kode en cracker har fået fat i, er den nyeste.

Du minimerer også risikoen for, at en fungerende kode spredes, hvorved du minimerer antallet af potentielle angribere og dermed risikoen for et succesfuldt angreb.

2) For at kunne udtale mig specifik om to-trinsbekræftelse, har jeg brug for at vide hvilken tjeneste, du omtaler.

Hvis vi bruger Facebook som eksempel, så er det scenarie du beskriver ikke noget problem: Tyven skal ikke alene bruge din computer, men også din internetforbindelse, for at computeren bliver genkendt som en enhed, der er tillid til. Hvis tyven forsøger at tilgå din Facebook via en anden internetforbindelse, vil computeren have en anden IP-adresse, end den facebook kender.

Jeg håber ovenstående kan kaste lys over emnet. Lad mig endelig høre, hvis der er noget, der ikke giver mening for dig.

Det er lidt af et mantra indenfor IT-sikkerhed (og nok al sikkerhed), at der ikke findes 100% effektive sikkerhedsforanstaltninger. Derfor skal man se de enkelte sikkerhedsforanstaltninger som dele af en samlet strategi, hvor målet er at gøre det så besværligt at angribe dig, at den kriminelle vælger et andet mål eller må give op af andre årsager.

Hej Christian Bugge!

Mange tak for dit svar.

1) Den forklaring kan jeg godt følge – tak!

2) Totrinsbekræftelsen har jeg tænkt på evt. at bruge til min Microsoft-konto (Outlook.com på laptop og stationær, SkyDrive på laptop, stationær og HTC smartphone) og Google-konto (Gmail og YouTube på laptop og stationær og Gmail på HTC smartphone).

Der er jo en mindre kampagne i gang hos Google og især Microsoft, og forbrugerbladet Tænk har såmænd også en vejledning i at bruge totrinsbekræftelse i nyeste nr.: ‘Bliv helt sikker på Google’ (Tænk/141/side 21). 

På billede 7 i vejledningen kan man se det, jeg nævnte: ‘Stol på denne computer’, og som nok gør totrinsbekræftelse nemmere end ellers, men som jeg altså mener vil kunne gøre den specifikke enhed mindre sikker, hvis den kommer i de forkerte hænder.

Men det er måske for hypotetisk?!

Glæder mig til at høre, hvad du har at sige om totrinsbekræftelse.

Mange tak! 

Venlig hilsen

Lindalis

Det er et rigtig godt spørgsmål, som jeg er i færd med at finde svaret på.

Umiddelbart tror jeg, at Outlook.com’s to-trins autentificering identificerer computeren ved hjælp af licensinformation og ikke ved hjælp af IP-adressen. Dermed er det scenarie, du beskriver, ikke umuligt.

Men selvom tyveknægte får fat i din computer, skal de stadigvæk bruge både computerens kodeord og det kodeord, du bruger til Outlook.com – og de skal selvfølgelig tiltvinge sig adgang til den fysiske maskine.

Jeg vil undersøge sagen nærmere og vende tilbage til dig. I mellemtiden tror jeg godt, du kan føle dig nogenlunde tryg.

Foreløig mange tak.

Du nævnte for øvrigt Facebook i dit første svar. Der føler jeg mig til gengæld lidt mere sikker – måske fordi jeg der netop har valgt at få en sikkerhedskode, når jeg (eller andre!) logger ind fra en anden computer (‘En sikkerhedskode er påkrævet, når du logger ind fra en ukendt browser’). Så ’sikker’, at jeg ikke har skiftet adg.kode på Fb i adskillige måneder mod hver tredje måned det første år.

Anyways, så ser jeg frem til at høre, hvad du kommer frem til.☺

Tak igen og venlig hilsen, Lindalis