Home - Nieuws (VPN en privacy) - Tweefactorauthenticatiecodes stelen is makkelijker dan gedacht

Tweefactorauthenticatiecodes stelen is makkelijker dan gedacht

TweefactorauthentificatieBij tweefactorauthenticatie (2FA) moeten gebruikers naast hun wachtwoord nog een extra code invullen als ze willen inloggen op een website. Deze code wordt bijvoorbeeld via sms verstuurd. Dit betekent een extra beveiligingslaag, waardoor het moeilijker is om in te breken in accounts. Securitybedrijf FireEye wil bewijzen dat deze methode echter niet veilig is voor phishingaanvallen. Ze hebben een tool ontwikkeld, waarmee door middel van phishing 2FA-codes te stelen zijn.

2FA gebruiken en opletten

Wanneer 2FA gebruikt wordt, heeft een aanvaller er nog niks aan als hij het wachtwoord van de gebruiker weet te ontfutselen, omdat hij niet over de tweede code beschikt. Volgens Google hebben veel mensen 2FA echter niet ingeschakeld. FireEye waarschuwt nu dus dat ook mensen die het wel ingeschakeld hebben voorzichtig moeten zijn. Er zijn al verschillende phishingaanvallen geweest, waarbij werd geprobeerd om aanvullende codes te stelen.

Weinig aandacht

Volgens FireEye is er te weinig aandacht voor deze phishingpogingen, omdat de algemene opvatting is dat zulke aanvallen moeilijk uit te voeren zijn. Met de ReelPhish-tool kan een nepwebsite opgezet worden, waar naast het wachtwoord ook de 2FA-code ingevuld kan worden. Die worden vervolgens naar de aanvaller gestuurd. Ondanks de mogelijkheid om in te breken, raadt FireEye wel aan om 2FA te blijven gebruiken, omdat het in ieder geval een extra beveiligingslaag vormt.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *