Microsoft kunngjorde i går en vesentlig, men frivillig sikkerhetsforbedring for flere av selskapet Office 365-tjenester. I stedet for bare et enslig passord, kan brukernes kontoer heretter beskyttes av ytterligere en «lås».

To-faktor autentisering – eller «multi-faktor» som Microsoft kaller det fordi man kan velge hva faktor nummer to skal være – har vært tilgjengelig for Office 365-brukere med administrative roller siden juni i fjor. Men nå utvides ordningen betydelig. Det skaper også noen mindre utfordringer, siden lokalt installerte Office-applikasjoner foreløpig ikke støtter to-faktor autentisering. Derfor innføres også «App Passwords», som er automatisk genererte passord, med 16 vilkårlige tegn, som kun disse applikasjonene skal bruke. Men i løpet av årets skal mange Office 2013-applikasjoner få integrert støtte for to-faktor autentisering.

Microsoft innfører av denne forbedrede sikkerheten kun for et utvalg av selskapets Office 365-abonnementer, nærmere bestemt Office 365 Midsize Business, Office 365 Enterprise, Office 365 Academic, Nonprofit-abonnementer og separate Office 365-abonnementer som Exchange Online og SharePoint Online.

Office 365 Small Business Premium og Office 365 Home Premium nevnes ikke, men Microsoft innførte frivillige, to-faktor autentisering for Microsoft-kontoer allerede i april i fjor.

I Office 365-abonnementene som støtter «Multi-Factor Authentication for Office 365», aktiveres dette av administratorene. Men brukerne selv kan velge sekundær autentiseringsfaktor etter at de har logget inn.

Faktorene man kan velge mellom, er:

• oppringning til mobiltelefon eller fasttelefon, hvor brukeren bare må trykke på firkanttasten for å bekrefte
• SMS med sekssifret engangskode som må tastes inn i portalen
• Varsel til egen mobilapplikasjon, som må bekreftes. Appene er tilgjengelige for Windows Phone, iOS og Android.
• Sekssifret engangskode vist i samme mobilapp som i punktet over. Koden må tastes inn i portalen.

En rekke andre nettjenester, som Twitter, Facebook, Google og GitHub, har også innført to-faktor autentisering det siste året eller så. Det er frivillig å aktivere dette, men det er få grunner til å la være. Det hindrer at uvedkommende får tilgang til brukerens konto ved hjelp av passordet alene.