Voor de beveiliging van accounts vertrouwen veel bedrijven en gebruikers nog op het oude, vertrouwde wachtwoord. Microsoft en Google zijn daarom op de kar van tweefactorverificatie (2FA) gesprongen. De tweede beveiliging kan via verschillende wegen geïnstalleerd zijn, maar is niet altijd even betrouwbaar.
Microsoft trekt ten strijde tegen het wachtwoord en kondigde in 2019 zelfs al het einde van het wachtwoord aan. Het bedrijf zette de einddatum op 2023. Of het echt zo’n vaart zal lopen de komende twee jaar is nog maar de vraag, al kan het geen kwaad eens te kijken naar tweefactorverificatie, een alternatief voor het wachtwoord.
2FA-mogelijkheden
De kracht van 2FA moet je ook aan Google niet meer duidelijk maken. Het bedrijf wil alle accounts overzetten naar de dubbele beveiliging, door het standaard in te schakelen. De verificatiecode kan eenvoudigweg naar je gsm-nummer worden gestuurd. Smartphonebezitters krijgen dan weer vaker een melding van Google met de vraag of je net probeerde in te loggen. Druk je op ja, dan is je account dubbel geverifieerd en kan je verder werken.
Deze procedures zijn lang niet de enige mogelijkheden voor tweefactorverificatie. Een beveiligingssleutel kan de taak bijvoorbeeld ook op zich nemen. Deze sleutel maakt gebruik van de open source Universal 2nd Factor (U2F)-standaard en bewaart een uniek toegangstoken op een apparaat. Wanneer je het toestel aansluit op je computer, kan je aanmelden op je account.
Microsoft Authenticator of Google Authenticator werken nog anders: deze apps draaien op je telefoon en genereren tijdelijke wachtwoorden. Zonder telefoon en authenticator kan je als gebruiker niet vanop een nieuw toestel inloggen op je account.
lees ook
Google Titan Security Key: zet phishing volledig buitenspel
Beveiliging op het wachtwoord
Met twee softwarereuzen die eigenlijk graag afstappen van het oude, vertrouwde wachtwoord, is het vast en zeker de moeite om het nut van 2FA toe te lichten. Voornamelijk voor een verbeterde beveiliging wordt tweefactorverificatie aanbevolen.
Je wachtwoord is namelijk te kraken. Het gevaar van wachtwoorden is dat gebruikers deze vaak te kort of eenvoudig maken. Daarbij komt nog eens dat gebruikers éénzelfde wachtwoord gebruiken voor meerdere diensten. Het feit dat het in veel artikels te lezen staat, betekent ook dat hackers hiervan op de hoogte zijn. Wordt één website of dienst het slachtoffer van een grote hack, dan zetten criminelen de gevonden wachtwoorden ook voor andere diensten in, in een poging zo binnen te raken.
Wordt één website of dienst het slachtoffer van een grote hack, dan zetten criminelen de gevonden wachtwoorden ook voor andere diensten in, in een poging zo binnen te raken.
Hoewel het bij 2FA lijkt alsof de aanmeldingsprocedure wordt verlengd, moet dat niet zo zijn. Dankzij de betere beveiliging kunnen bedrijven namelijk gebruik maken van eenmalige aanmelding. Zodra een gebruiker zichzelf correct aanmeldt, wordt alle software die aan het account gekoppeld is, automatisch ingelogd. Dit bespaart heel wat tijd en als gebruiker is het niet meer nodig verschillende wachtwoorden te onthouden.
Ben je zelf nu ook overtuigd van de vele voordelen? Laat je Google-account dan al beveiligen door 2FA. Open je Google-account, klik in het linker overzicht op Beveiliging > Inloggen bij Google en zet Verificatie in 2 stappen op aan. Enkel inlogpogingen vanaf een nieuw of vreemd apparaat vereisen vanaf dat moment de tweefactorverificatie. Hiervoor ontvang je een code die je ingeeft in je Google-account en zo kan je meteen aan de slag.
Sms geen veiligheidsgarantie
2FA kan een eerste stapje zijn naar een veiligere internetomgeving. Toch biedt de beveiliging geen absolute garantie tegen hackpogingen. Hackers proberen met man en macht 2FA te omzeilen, omdat voornamelijk belangrijke profielen de extra beveiliging inbouwen. Soms verloopt het hacken succesvol en worden de beperkingen van 2FA blootgelegd.
Gelukkig beperken de problemen zich grotendeels tot de tweefactorverificatie die een sms gebruikt als tweede controle-element. Microsoft ondersteunt deze manier van 2FA zelfsniet en waarschuwt anderen voor de mogelijke gevaren. Volgens het bedrijf zijn er verschillende beperkingen en veiligheidsproblemen met sms:
- Het middel kan niet worden aangepast aan de verwachtingen van de gebruikers, technische vooruitgang en het gedrag van aanvallers.
- PSTN-systemen laten het wel eens afweten, waardoor de code mogelijk niet komt als de gebruiker dit vraagt.
- Sms is ontworpen zonder encryptie en kan makkelijk onderschept worden.
- Operatoren bij telecomproviders kunnen door hackers misleid, omgekocht of gedwongen worden om toegang te verlenen tot een sms.
SIM swap
Soms boren operatoren dus gaten in de beveiliging die tweefactorverificatie biedt. Een voorbeeld hiervan is een SIM swapaanval. In dit type aanval wordt het telefoonnummer van het slachtoffer overgezet naar een nieuwe simkaart. De aanvaller neemt hiervoor contact op met een telecomoperator en overtuigt die persoon van zijn valse identiteit. De informatie die hiervoor nodig is, heeft de cybercrimineel al eerder verzameld door bijvoorbeeld phishing.
Modlishka-tool
Verder bestaan er ook tools die tweestapsverificaties omzeilen. Modlishka is hier een voorbeeld van en kan gewoon op GitHub gevonden worden.
De tool kan bijvoorbeeld worden ingezet tegen de beveiliging van Google. Als de tool uitgerold wordt, plaatst deze een server genaamd Modlishka tussen het doelwit en een beveiligd platform als Gmail in. Slachtoffers maken onbewust verbinding met deze server wanneer ze hun inloggegevens invullen.
Eens de gebruiker zijn naam, wachtwoord en vervolgens zijn 2FA-code invult, wordt die informatie verzameld en op de proxy-server bewaard. De code voor 2FA is slechts enkele minuten bruikbaar, maar een aanvaller kan in die enkele minuten jouw Google-account toch kraken.
Eens de gebruiker zijn naam, wachtwoord en vervolgens zijn 2FA-code invult, wordt die informatie verzameld en op de proxy-server bewaard.
Opletten bij andere 2FA-opties
De Authenticators van Google en Microsoft zijn beter beveiligd, maar hier is het vooral als gebruiker zelf oppassen geblazen. Via Android-malware zijn nepapplicaties verschenen die dezelfde naam en interface gebruiken als geverifieerde applicaties. De applicatie vraagt de gebruiker in te loggen met een Authenticator en breekt zo in bij de tweede beveiliging.
De beste optie op de markt lijkt op dit moment een beveiligingssleutel te zijn. In België zijn bijvoorbeeld de beveiligingssleutels van Yubico beschikbaar. De nieuwste YubiKey5 combineert USB-C met NFC. Wie zo’n veiligheidssleutel in het hele bedrijf wil uitrollen, kan beroep doen op YubiEnterprise-diensten. Hiermee kan je efficiënt sleutels registeren en verzenden naar werknemers alsook upgraden naar nieuwe modellen.
Het belangrijkste bij tweefactorverificatiei s dat gebruikers nog steeds oplettend blijven voor de veiligheid van hun gegevens. Dat neemt niet weg dat het een goede aanvulling is op een wachtwoord.