Inlogcode op sleutel

Tweefactorauthenticatiecodes stelen is makkelijker dan gedacht

Laatst bijgewerkt: 28 januari 2019
Leestijd: 1 minuut, 4 seconden

Bij tweefactorauthenticatie (2FA) moeten gebruikers naast hun wachtwoord nog een extra code invullen als ze willen inloggen op een website. Deze code wordt bijvoorbeeld via sms verstuurd. Dit betekent een extra beveiligingslaag, waardoor het moeilijker is om in te breken in accounts. Securitybedrijf FireEye wil bewijzen dat deze methode echter niet veilig is voor phishingaanvallen. Ze hebben een tool ontwikkeld, waarmee door middel van phishing 2FA-codes te stelen zijn.

2FA gebruiken en opletten

Wanneer 2FA gebruikt wordt, heeft een aanvaller er nog niks aan als hij het wachtwoord van de gebruiker weet te ontfutselen, omdat hij niet over de tweede code beschikt. Volgens Google hebben veel mensen 2FA echter niet ingeschakeld. FireEye waarschuwt nu dus dat ook mensen die het wel ingeschakeld hebben voorzichtig moeten zijn. Er zijn al verschillende phishingaanvallen geweest, waarbij werd geprobeerd om aanvullende codes te stelen.

Weinig aandacht

Volgens FireEye is er te weinig aandacht voor deze phishingpogingen, omdat de algemene opvatting is dat zulke aanvallen moeilijk uit te voeren zijn. Met de ReelPhish-tool kan een nepwebsite opgezet worden, waar naast het wachtwoord ook de 2FA-code ingevuld kan worden. Die worden vervolgens naar de aanvaller gestuurd. Ondanks de mogelijkheid om in te breken, raadt FireEye wel aan om 2FA te blijven gebruiken, omdat het in ieder geval een extra beveiligingslaag vormt.

Hoofdauteur:

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen

Op zoek naar een VPN?

Bekijk ons overzicht met de meest betrouwbare, snelle en veilige VPN-services.
Uitgebreid getest door experts.

Bekijk welke VPN het beste bij je past