Google har stängt av äldre inloggningar och driver nu på för att alla konton ska skyddas med tvåstegsverifiering.
Den som fortfarande loggar in på Gmail eller Google Drive från en äldre e-postklient med enbart användarnamn och lösenord har redan eller kommer snart att märka av förändringen. Det går helt enkelt inte längre. Google har under det senaste året skärpt kraven på hur konton får nås och samtidigt aktiverat tvåfaktor automatiskt för stora grupper av användare.
Den 14 mars 2025 stängde Google av stödet för så kallade mindre säkra appar för samtliga Google-konton. Det betyder att de gamla protokollen IMAP, SMTP, POP, CalDAV och CardDAV inte längre kan användas med ett vanligt kontolösenord. Tredjepartsappar måste i stället autentisera sig via OAuth, en modernare standard där appen får en separat behörighet i stället för att hantera själva lösenordet.
Förändringen påverkar bland annat äldre versioner av Apples Mail-app, Thunderbird utan korrekt konfiguration och en lång rad enklare skannrar och kontorsmaskiner som tidigare kunde skicka e-post via Gmail. Den som inte uppdaterar sin uppkoppling riskerar att tappa åtkomsten helt.
150 miljoner konton fick tvåfaktor påtvingat
Parallellt med upprensningen bland gamla protokoll har Google sedan flera år automatiskt aktiverat tvåstegsverifiering för konton som inte själva har slagit på funktionen. Hittills har omkring 150 miljoner användare fått skyddet påslaget på det sättet, och drygt två miljoner Youtube-kreatörer har tvingats använda det för att kunna logga in.
Effekten är tydlig. Bland konton som har tvåstegsverifiering aktiverad har antalet kapningar minskat med ungefär 50 procent, enligt Googles egna uppgifter. Företaget motiverar pressen med att lösenord ensamma inte längre erbjuder tillräckligt skydd mot nätfiske och läckta databaser.
SMS-koder är det svagaste alternativet
Många användare som har slagit på tvåstegsverifiering har valt det enklaste alternativet, sexsiffriga koder via SMS. Det är fortfarande bättre än enbart lösenord, men metoden anses i dag vara den minst säkra. SMS kan fångas upp via så kallade SIM-kapningar, där en angripare lurar telebolaget att flytta offrets nummer till ett nytt SIM-kort.
Google erbjuder flera bättre alternativ direkt i kontoinställningarna:
Google Prompts, en pushnotis som dyker upp på en betrodd telefon och som man godkänner med ett tryck.
Google Authenticator, en app som genererar tidsbegränsade koder lokalt på telefonen.
Passnycklar (passkeys), som använder ansiktsigenkänning, fingeravtryck eller telefonens PIN-kod.
Fysiska säkerhetsnycklar, små USB- eller NFC-enheter man köper separat.
Google rekommenderar själva att man slår på Google Prompts som standardmetod, eftersom det är snabbare att trycka på en notis än att skriva av en kod. Företaget pekar samtidigt på att passnycklar och fysiska säkerhetsnycklar är de enda metoderna som faktiskt skyddar mot nätfiske, eftersom de kräver att rätt fysisk enhet är på plats vid inloggningen.
Så förbereder du ditt konto
För svenska användare som ännu inte har aktiverat tvåstegsverifiering finns det inget skäl att vänta. Stegen är desamma som internationellt:
1. Logga in på ditt Google-konto och öppna säkerhetsinställningarna.
2. Slå på tvåstegsverifiering och välj minst en metod utöver SMS, helst Google Authenticator eller en passnyckel.
3. Skapa och spara tio reservkoder på ett säkert ställe, exempelvis i en lösenordshanterare.
4. Om en äldre e-postapp eller kalenderprogram har slutat fungera: ta bort kontot från appen och lägg till det på nytt via valet ”Logga in med Google”.
Den som ignorerar förändringen riskerar i värsta fall att en dag bli utlåst från Gmail utan att ha kvar en fungerande väg in. När väl tvåstegsverifiering är inkopplad och reservkoderna är säkrade går det att hantera även en förlorad telefon utan dramatik.