Google 2-step verification

Vi kommer att få ett val för våra Google konton som de på engelska kallar ”2-step verification”. Det kommer att dyka upp under kontoinställningar – säkerhet. Har försökt läsa mig till hur det fungerar i detalj men inte lyckats. Från min dator kan jag logga in på google.com och där komma till kontoinställningar där jag kan läsa om det. Beskrivningen får inget högt pris avseende pedagogiken.

Principen är att vi förutom den ordinarie inloggningen med lösenord kan välja att ytterligare en kod skall anges. Loggar vi in från en dator kan det då vara så att vi använder telefonen som någon slags bankdosa för att få en PIN-kod. Blir inte klok på om telefonen själv kommer att ge koden när den loggar in själv eller om vi måste ge den varje gång. Man kan redan nu ladda ner en app som heter Google Authenticator som på något vis kommer att behövas. Finns det någon som redan har erfarenhet av 2-step verification vore det värdefullt att höra era synpunkter?

Det finns mycket goda skäl till att använda 2-step verification då det kommer, det är akut. Använder man wi-fi så är det lätt att med gratisverktyg få någons inloggningsdata för deras Google konto. Man kan få dessa data trots att förbindelsen är krypterad med SSL och utan någon varning för falska certifikat. Ni som registrerat era betal/kreditkort på ert konto för att kunna handla på Market vet att kan man logga in på kontot, så finns där tillräckliga uppgifter att hämta där för att kunna handla med ert kort.

Jag plockar bort uppgifterna om mitt kort från kontot strax efter det jag betalat med det och ändrar min adress till en fiktiv dito.

Det går inte att sniffa våra inloggningsuppgifter alltid. Verktyget jag testade heter sslstrip. Det bygger på att browsern kan luras genom att i adresser lägga in symboler som man inte använder från ”tangentbordet”, kallar detta en bug. Browsern i min HTC Desire har denna bug och det går utmärkt att sniffa mina inloggningsuppgifter om jag via browsern går in på gmail.com. Minns inte om det går att sniffa när telefonen själv loggar in vid uppstart. Man skall dock inte ropa hej även om det inte går just nu. Den sslstrip som finns att ladda ner är gjord för att visa principen när man loggar in från en browser. Finns samma bug som i browsern kan man säkert sniffa uppgifterna även då efter en modifiering av programmet.

Har även en iPod touch, en iPhone utan telefon; det gick inte att sniffa browsern i denna. Vet att det går med flera av de browsers vi använder i våra ordinarie datorer.

Använder vi 3G nätet bör vi vara säkra från att bli sniffade, det kräver avancerad utrustning/kunskap för att sniffa där. Problemet är att när vi använder wi-fi utomlands så kan det vara mycket dyrt med data via 3G och då bör man vara mycket säkra på säkerheten för det wi-fi nät man använder. (I ett radioprogram som heter Plånboken berättar de om en person som surfade från mobilen för 263 000 kr under semestern i Thailand). Ni som tar fram appar; det är relativt lätt att detektera ”arp poisoning”. Finns det API så att man detektera om en NIC på nätverket står i Promiscuous Mode så finns vad man behöver för att hitta en server som ligger utanför nätverket . Ni har en uppgift här!

 

så nu aktiverade jag mitt 2step verification på mitt företags apps mail.

Gå in på din mail, inställningar, konton, inställningar för kontot i google.

Sen hittar du vidare där ser du 2step verification , jag letade skälv i google support djungeln innan jag hittade det.

har även addat min privata gmail på samma sätt
samt samma authenticator, det fungerar bra

Lycka till.

 

@donaldduck Wow det var ingen lätt text att förstå!

2step verification är däremot inga konstigheter. Tycker att Google har förklarat det väldigt pedagogiskt. Har du ännu inte fått det tillgängligt ännu så byt bara språk till engelska så dyker länken upp på ditt "account"