Sikrere tilgang med 2-trinns bekreftelse

MakePlans brukes av mange forskjellige typer bedrifter. Alt fra reservering av squashbaner til konsultasjon hos studieveiledere. Vi har også mange som driver med helse og dermed lagrer pasientdata. Dette kan være sensitive data som krever gode rutiner for lagring og har høye sikkerhetskrav. All kommunikasjon i våre systemer foregår kryptert med HTTPS. Det betyr at ingen andre på nettet kan plukke opp det som vises eller det som lagres. Selve applikasjonen er sikret med brukernavn og passord. Vi krypterer alle passord og har ikke mulighet til å se ditt passord. Men hvis du bruker samme passord på andre tjenester så kan en hacker utnytte det og få tilgang til viktige data i MakePlans ved å logge seg på med det samme passordet. Så for våre kunder med behov for et ekstra sikkerhetsnivå lanserer vi nå 2-trinns bekreftelse.

Hvordan fungerer det?

2-trinns bekreftelse innebærer at for å autentisere deg så trenger du i tillegg til å vite passordet til brukeren din så må du også ha fysisk tilgang til mobilen din for å generere en midlertidig kode (hver kode er gyldig i 30 sekunder). Dette øker sikkerheten betraktelig siden en hacker da må vite passordet ditt samt få tak i mobilen din for å få tilgang til dine data i MakePlans.

2-trinns bekreftelse brukes av Google, Dropbox og flere andre nettjenester. Vi anbefaler å bruke 2-trinns bekreftelse for alle tjenester hvor du har sensitive data. Alle disse tjenestene samt MakePlans bruker en åpen standard for generering av den midlertige 2-trinns bekreftelsekoden. Du kan derfor bruke for eksempel appene Google Authenticator eller Authy for å logge inn i MakePlans. Etter du har logget inn med din epost og passord så blir du spurt om bekreftelsekoden som vises i app'en i din mobil.

For å aktivere 2-trinns bekreftese så logger du først inn som vanlig og går så til "Min profil". Trykk så på knappen "Endre" og deretter på linken "Aktiver 2-trinns bekreftelse". Du må nå scanne QR-koden som er synlig på denne siden med f.eks Google Authenticator. Neste gang du logger inn så vil du bli spurt om å skrive inn koden fra Google Authenticator.

Ingen kodebrikke - krever ikke java

BankID er en annen norsk tjeneste som bruker en midlertidig kode i tillegg til passordet du har. Nettbankene krever som regel at man har en kodebrikke istedenfor en mobiltelefon. I tillegg kreves enten Java (med store sikkerhetsproblemer samt installasjonsproblemer) eller et spesialprodusert sim-kort. MakePlans sin 2-trinns bekreftelse er derimot basert på RFC6238 som er en åpen standard og krever ikke java eller en kodebrikke.

Først i Norge

MakePlans er den første SaaS-tjenesten i Norge som tilbyr ekstra sikkerhet med 2-trinns bekreftelse basert på RFC6238. Globalt brukes RFC6238 av aktører som Google, Dropbox, Amazon og GitHub. Vi håper at flere aktører i Norge samt BankID også vil følge etter for å tilby en sikker og brukervennlig måte for brukere å autentisere seg på.

Publisert 07 Oct 2013