Multifactorauthenticatie of tweestapsverificatie op een smartphone en tablet

Microsoft waarschuwt: ‘Pas op met multifactorauthenticatie’

Laatst bijgewerkt: 12 november 2020
Leestijd: 3 minuten, 22 seconden

Multifactorauthenticatie (MFA) is iets wat me moeten omarmen om onze data en privacy te waarborgen. Met gebruik ervan is niet zonder gevaren. Sommige varianten van MFA zijn veiliger dan andere. Zo is het onverstandig om sms- en gesproken berichten als authenticatiemiddel te gebruiken, omdat deze via social engineering onderschept kunnen worden door anderen.

Dat schrijft Alex Weinert, directeur van de afdeling Identity Security bij Microsoft, in een weblog.

Het belang van multifactorauthenticatie

Onlangs slaagde Victor Gevers, een ethische hacker uit Nederland, erin om de Twitter-account van president Trump over te nemen. Na een aantal pogingen wist hij het wachtwoord van de Amerikaanse president te raden: maga2020! (Make America Great Again). Eenmaal ingelogd kon hij, in naam van de president, berichten plaatsen op het platform, maar ook persoonlijke berichten (DM’s) lezen.

Het voorbeeld toont aan dat het belangrijk is om je online accounts te beveiligen met multifactorauthenticatie (MFA) of tweestapsverificatie. Naast een gebruikersnaam en wachtwoord heb je ook een speciale code nodig om toegang te krijgen tot een account. Anders gezegd, om je account te kraken moeten hackers niet alleen beschikken over iets dat je weet (wachtwoord), maar ook over iets dat je hebt (toegangscode). MFA is dus een extra beveiligingslaag boven op de traditionele beveiliging.

Pas op met sms- en gesproken berichten

Securitydeskundigen zijn het onderling eens dat MFA het aantal cyberaanvallen en -incidenten sterk kan reduceren. De meeste mensen vinden het echter te veel moeite of lastig om hun accounts te voorzien van tweestapsverificatie. Maar het is wel de moeite waard. Weinert stelt dat bij minder dan 0,1 procent van alle gebruikers die MFA hebben ingeschakeld de online accounts zijn gecompromitteerd door hackers.

Tegelijkertijd waarschuwt de beveiligingsdeskundige bij Microsoft dat we geen sms- en gesproken berichten als MFA-methode moeten gebruiken. De vraag is niet of we tweestapsverificatie moeten gebruiken, maar welke methode van tweestapsverificatie. Sms- en gesproken berichten zijn beveiligingsmechanismen die gebaseerd zijn op Publicy Switched Telephone Networks (PSTN), de minst veilige opties als het gaat om MFA aldus Weinert.

‘Berichten eenvoudig te onderscheppen door social engineering’

“Sms-berichten en voice protocols zijn ontworpen zonder veiligheid of encryptie in het achterhoofd”, zo zegt Weinert. Deze beveiligingsformats zijn volgens hem niet flexibel om nieuwe beveiligingstechnieken en innovatie op toe te passen. Daardoor is het voor kwaadwillende mogelijk om deze communicatie te onderscheppen. Het is in de woorden van Weinert een “substantiële en unieke kwetsbaarheid” in het PSTN-systeem.

Sms- en gesproken berichten zijn volgens de beveiligingsspecialist via social engineering eenvoudig te achterhalen. Als voorbeeld noemt hij phishing en SIM Jacking, ook wel SIM Swapping genoemd. Daarbij belt een oplichter op naar een telecombedrijf om te vragen of het telefoonnummer van zijn slachtoffer op een andere simkaart geactiveerd kan worden. Medewerkers van de klantenservice geven te gemakkelijk gehoor aan dit verzoek, of zijn vatbaar voor de charmes van de beller, omkoping, chantage of afpersing.

Deze vormen van MFA zijn veilig

“Sms en voice formats beperken ons om de context te leveren waarvoor authenticatie vereist is”, zo concludeert Weinert. Wat zijn dan wel veilige en verantwoorde MFA-beveiligingsmechanismen om te gebruiken? Daar heeft hij uiteraard op. Allereerst noemt hij Windows Hello. Dat is software die Microsoft aan de webcam van laptops heeft toegevoegd waarmee een gebruikersaccount wordt afgeschermd met een gezichtsprofiel. Alleen geautoriseerde personen hebben dan toegang tot het bedrijfsnetwerk en bedrijfsmiddelen. Ook garandeert het de vertrouwelijkheid of exclusiviteit van gebruikers.

Een andere methode is FIDO, wat staat voor Fast Identity Online. Deze techniek is de opvolger van traditionele One-Time Passcodes (OTP) en is gebaseerd op public key encryption, waardoor inlogcodes niet langer via onveilige netwerken verzonden hoeven te worden. Hiermee log je altijd en overal veilig in op je online accounts. De Security Keys van Yubico zijn bekende en geliefde producten onder beveiligingsspecialisten en -kenners.

Tot slot noemt Weinert Microsoft Authenticator. Dit is een applicatie die inlogcodes aanmaakt voor als je probeert in te loggen bij bijvoorbeeld Microsoft OneDrive of Twitter. Deze codes veranderen voortdurend, waardoor het voor hackers onmogelijk is om je account te gijzelen. Authenticator-apps maken gebruik van encryptie om te communiceren met gebruikers.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
1
Reacties
  1. Tweestapsverificatie is zo lek als een mandje. Ik had het ook plus VPN. Gebruikte Microsoft Hotmail. Met een lang wachtwoord met tekens en Hoofdletters. Maar werdt gewoon elke keer gehackt. En als ik inlogde op mijn account werdt er gelijktijdig ook door iemand anders in gelogd op mijn account gebruikte ook vpn die persoon…Ik kreeg van hotmail ook een waarschuwing dat er er kijkt iemand met u mee ect.ect

Een reactie plaatsen