2FA och GDPR

Marcus Olsson,

En intressant sidoeffekt av GDPR (som träder i kraft om 3 dagar!) är att allt fler tjänster väljer att implementera olika typer av tvåfaktorsautentiseringar ("2FA"). Senast ut är CampaignMonitor och även svenska aktiehandelsplattformen Avanza.

Mycket bra – på tiden!

Jag antar att grunden är att de helt enkelt tolkar det som att en vanlig användarnamn + lösenordskombo inte är att skydda sina användares data tillräckligt.

I Avanzas fall vet jag också att de förr hade en riktigt dålig lösenordspolicy som tillät väldigt svaga lösenord, att tvinga in användare i en 2FA-lösning gör helt enkelt att de delvis helt kommer runt problemet med svaga lösenord (Avanza har dock haft BankID som standardmetod ett tag utöver användarnamn + lösenordskombo).

Avanza och 2FA Meddelande från Avanza som kom upp i veckan.

Mitt minne kan lura mig, men vad jag kan komma på är Avanza den första svenska "mainstream"-tjänsten som implementerar 2FA. Något som jag är säker på att vi kommer att se en hel del mer av framöver då det är en smidig och billig lösning för att ha ännu ett lager av säkerhet.

1Password

Måste också ge lite "reklam" till en av mina mest använda appar; 1Password. De senaste veckorna har jag bytt ut Authy och Google Authenticator till att istället använda 1Password för att hantera alla mina 2FA-tokens.

Så mycket smidigare att ha allt i en och samma app – plus att man sover lite bättre när man vet att allt synkas automatiskt och krypterat mellan alla ens enheter (i mitt fall via iCloud) om det värsta skulle hända (brand, stöld eller liknande).

1Password one-time-passwords Uppsättning av 2FA i 1Password; går snabbt och enkelt.


Dålig koll på vad GDPR är och innebär? Jag har tidigare skrivit en kort summering.