De understøtter en række autentifikations-protokoller og kan fungere sammen med en TOTP-app som en Universal Second Factor (U2F) eller autentificere med understøttede tjenester via NFC (Near Field Communication) på en mobiltelefon. De kan også virke som en opløsningsnøgle for en kodeordsmanager-tjeneste. Og det er godt.
[/su_box]Mange tjenester tilbyder i dag tofaktor-godkendelse (2FA), hvor der ved siden af et kodeord kræves en 2. form for token. Denne 2. faktor er ofte en sms-besked, men det er problematisk. For eksempel kan en determineret angriber besidde midlerne til at foretage et sim-swap-angreb, hvorved netværkspersonale bliver socialt vildledt (eller bestukket eller afpresset) til at sende offerets telefonnummer videre til angriberens sim.
Mobil malware bliver mere og mere udbredt (lad være med at sideloade apps, du ikke har tillid til!), og hvis offerets telefon er blevet udsat for sådan noget, er der fri adgang til dens sms’er. SS7-protokollen, der forbinder mobilnet, har længe givet anledning til bekymring for de sikkerhedsbevidste.
Nu kan man generere urokkelige kodeord uden at skulle bekymre sig om at huske dem.
Så snart man har adgang til et mobilnet – uanset om det er internt via en uhæderlig ansat eller eksternt gennem noget ondsindet hacking – er det faktisk muligt at få adgang til ethvert andet net og opsnappe eller omdirigere beskeder efter forgodtbefindende. Derfor: Brugen af sms som en 2. faktor er afgjort stærkere end slet ingen 2. faktor, men man bør bruge andre faktorer til kritiske situationer.
Hardwaretokens og sikkerhedsnøgler bliver stadig mere udbredt som en 2. faktor til populære tjenester. De challenge-response-kortlæsere, der er påkrævede til nogle former for internet-bankvirksomhed, er et eksempel; de øger tilliden til, at det er kontoindehaveren, der prøver at gennemføre en bestemt transaktion, fordi de viser, at den, der gør det, har det rette kort og den rette pinkode. Desværre er der en tilbøjelighed til, at disse enheder bliver væk eller løber tør for strøm på de mest uheldige tidspunkter.
Det er problemet med sikkerhed i den virkelige verden: Man skal tage højde for alle de fjollede fejl, vi almindelige mennesker er så gode til at begå. Lad os passe på derude!
