OpenAI gjør ChatGPT-kontoen til en sikkerhetskontroll

OpenAI innførte 30. april Advanced Account Security for ChatGPT- og Codex-kontoer.

Dette er ikke bare en ny innstilling for sikkerhetsnøklene dine. OpenAI sier at ChatGPT-kontoer nå kan inneholde sensitiv personlig og profesjonell kontekst, og at samme innlogging også beskytter Codex. For norske virksomheter betyr det at AI-kontoen må behandles mer som en privilegert arbeidsflate enn som et vanlig SaaS-passord.

Fakta: Advanced Account Security er en frivillig modus i sikkerhetsinnstillingene på web. Når den er aktivert, krever OpenAI passkeys eller fysiske sikkerhetsnøkler og skrur av passordbasert innlogging. E-post- og SMS-basert gjenoppretting fjernes. Brukeren må i stedet ha backup-passkeys, sikkerhetsnøkler eller recovery keys. OpenAI Support kan ikke hjelpe med gjenoppretting for kontoer som er meldt inn.

OpenAI strammer også inn aktive sesjoner. Brukere får kortere innloggingsvinduer, varsler ved ny innlogging og bedre oversikt over aktive ChatGPT- og Codex-sesjoner. En viktig personvernkonsekvens er at samtaler fra kontoer med Advanced Account Security automatisk ikke brukes til modelltrening.

Selskapet kobler lanseringen til Yubico gjennom rabatterte YubiKey-pakker, men sier at FIDO-kompatible nøkler og programvarebaserte passkeys også kan brukes. For Trusted Access for Cyber er kravet hardere: individuelle brukere som får tilgang til OpenAIs mest cyber-kapable og permissive modeller må aktivere Advanced Account Security fra 1. juni 2026, eller organisasjonen må attestere phishing-resistent SSO.

Vurdering: Dette er et tydelig signal om hvor OpenAI mener risikoen ligger. Det handler ikke bare om modellene, men om kontoene rundt dem: prompt-historikk, filer, kildekode, agenter, tilkoblede verktøy og API-nøkler. Når AI-verktøy får mer kontekst og flere handlingstillatelser, blir kontoovertakelse en forretningsrisiko.

CIO-konsekvensen er praktisk. Kartlegg hvem som bruker ChatGPT, Codex og tilsvarende verktøy til kildekode, styremateriale, kundedata eller sikkerhetsarbeid. Sett krav om SSO, phishing-resistent MFA og administrert gjenoppretting for høyrisikobrukere. Ikke gjør sikkerhetsnøkler til et individuelt hobbyprosjekt; knytt det til IAM, device management, offboarding og beredskap for tapte nøkler.

For styret er læringen enkel: AI-sikkerhet er ikke lenger bare modellrisiko og datadeling. Konto- og tilgangsstyring blir en del av AI-governance.