Waarom mensen zeggen dat tweefactorauthenticatie niet perfect is

Toen tweefactorauthenticatie voor het eerst werd geïntroduceerd, bracht dit een revolutie teweeg in de beveiliging van apparaten en hielp het identiteitsdiefstal veel moeilijker te maken - tegen de geringe prijs van een klein ongemak bij het inloggen.

Maar het is niet perfect en het heeft ook niet al onze problemen met hacken en gegevensdiefstal opgelost. Recent nieuws heeft meer context gegeven voor hoe hackers tweefactorauthenticatie hebben omzeild en een deel van ons vertrouwen erin hebben aangetast.

Wat is tweefactorauthenticatie precies?

Tweefactorauthenticatie voegt een extra beveiligingslaag toe aan het inlogproces voor apparaten en services. Voorheen hadden logins één authenticatiefactor: meestal een wachtwoord of een biometrische login zoals een vingerafdrukscan of Face ID, soms met toevoeging van beveiligingsvragen. Dat bood enige beveiliging, maar het was verre van perfect, vooral met zwakke wachtwoorden of automatisch ingevulde wachtwoorden (of als inlogdatabases worden gehackt en die informatie op het dark web begint te verschijnen).

Tweefactorauthenticatie lost deze problemen op door een tweede factor toe te voegen, nog iets dat een persoon moet doen om te garanderen dat hij het echt is en dat hij of zij toegang heeft. Meestal betekent dit dat u via een ander kanaal een code ontvangt, zoals een sms of e-mail van de service, die u vervolgens moet invoeren.

Sommige gebruiken tijdgevoelige codes (TOTP, Time-Based One Time Password) en andere gebruiken unieke codes die zijn gekoppeld aan een specifiek apparaat (HOTP, HMAC-based One Time Password). Bepaalde commerciële versies kunnen zelfs extra fysieke sleutels gebruiken die u bij de hand moet hebben.

De beveiligingsfunctie is zo gewoon geworden dat u waarschijnlijk gewend bent berichten te zien in de trant van: "We hebben u een e-mail gestuurd met een beveiligde code om in te voeren, controleer alstublieft uw spamfilter als u deze niet heeft ontvangen.” Het komt het meest voor bij nieuwe apparaten, en hoewel het wat tijd kost, is het een enorme sprong voorwaarts in beveiliging in vergelijking met één factor methoden. Maar er zijn enkele gebreken.

Dat klinkt behoorlijk veilig. Wat is het probleem?

Onlangs kwam er een rapport uit van cyberbeveiligingsbedrijf Sophos waarin een verrassende nieuwe manier werd beschreven hackers slaan twee-factor-authenticatie over: koekjes. Slechte actoren hebben "cookies gestolen", waardoor ze toegang hebben tot vrijwel elk type browser, webservice, e-mailaccount of zelfs bestand.

Hoe komen deze cybercriminelen aan deze cookies? Welnu, Sophos merkt op dat het Emotet-botnet zo'n cookie-stelende malware is die zich richt op gegevens in Google Chrome-browsers. Mensen kunnen ook gestolen cookies kopen via ondergrondse marktplaatsen, wat beroemd werd in de recente EA-zaak waarbij inloggegevens terechtkwamen op een marktplaats genaamd Genesis. Het resultaat was 780 gigabyte aan gestolen gegevens die werden gebruikt om het bedrijf af te persen.

Hoewel dat een spraakmakende zaak is, is de onderliggende methode daar en het laat zien dat tweefactorauthenticatie verre van een wondermiddel is. Naast het stelen van cookies, zijn er in de loop der jaren nog een aantal andere problemen vastgesteld:

• Als een hacker heeft uw gebruikersnaam of wachtwoord voor een dienst te pakken heeft gekregen, hebben ze mogelijk toegang tot uw e-mail (vooral als u hetzelfde wachtwoord gebruikt) of telefoonnummer. Dit is met name problematisch voor op sms/tekst gebaseerde tweefactorauthenticatie, omdat telefoonnummers gemakkelijk te vinden zijn en kunnen worden gebruikt om onder andere uw telefoon te kopiëren en de sms-code te ontvangen. Het kost meer werk, maar een vastberaden hacker heeft nog steeds een duidelijk pad voorwaarts.
• Afzonderlijke apps voor tweefactorauthenticatie, zoals Google Auth of Duo, zijn veel veiliger, maar de acceptatiegraad is erg laag. Mensen hebben de neiging om niet nog een app te willen downloaden, alleen voor beveiligingsdoeleinden voor een enkele service, en organisaties vinden het een stuk eenvoudiger om simpelweg te vragen "E-mail of sms?" in plaats van van klanten te eisen dat ze een app van derden. Met andere woorden, de beste soorten tweefactorauthenticatie worden niet echt gebruikt.
• Soms zijn wachtwoorden te gemakkelijk opnieuw in te stellen. Identiteitsdieven kunnen genoeg informatie over een account verzamelen om de klantenservice te bellen of andere manieren te vinden om een ​​nieuw wachtwoord aan te vragen. Dit omzeilt vaak elke betrokken tweefactorauthenticatie en, als het werkt, geeft het dieven directe toegang tot het account.
• Zwakkere vormen van tweefactorauthenticatie bieden weinig bescherming tegen natiestaten. Overheden hebben tools die tweefactorauthenticatie gemakkelijk kunnen tegengaan, waaronder het monitoren van sms-berichten, het afdwingen van draadloze providers of het onderscheppen van authenticatiecodes op andere manieren. Dat is geen goed nieuws voor degenen die manieren willen om hun gegevens privé te houden voor meer totalitaire regimes.
• Veel programma's voor gegevensdiefstal omzeilen tweefactorauthenticatie volledig door zich in plaats daarvan te richten op het voor de gek houden van mensen. Kijk maar eens alle phishing-pogingen die zich voordoen als afkomstig van banken, overheidsinstanties, internetproviders, enz., die om belangrijke accountgegevens vragen. Deze phishing-berichten kunnen er heel echt uitzien en kunnen iets inhouden als: “We hebben uw authenticatiecode aan onze kant, zodat we ook kunnen bevestigen dat u de rekeninghouder bent', of andere trucs codes krijgen.

Moet ik tweefactorauthenticatie blijven gebruiken?

Absoluut. In feite moet u uw services en apparaten doornemen en tweefactorauthenticatie inschakelen waar deze beschikbaar is. Het biedt aanzienlijk betere beveiliging tegen problemen zoals identiteitsdiefstal dan een eenvoudige gebruikersnaam en wachtwoord.

Zelfs op sms gebaseerde tweefactorauthenticatie is veel beter dan helemaal geen. Sterker nog, het National Institute of Standards and Technology heeft ooit het gebruik van sms in tweefactorauthenticatie afgeraden, maar rolde dat het volgende jaar terug want ondanks de gebreken was het nog steeds de moeite waard om te hebben.

Kies indien mogelijk een authenticatiemethode die niet is gekoppeld aan sms-berichten, en je hebt een betere vorm van beveiliging. Houd ook uw wachtwoorden sterk en gebruik een wachtwoordbeheerder om ze te genereren voor logins als je kunt.

Hoe kan tweefactorauthenticatie worden verbeterd?

Weggaan van authenticatie op basis van sms is het grote huidige project. Het is mogelijk dat tweefactorauthenticatie overgaat naar een handvol apps van derden, zoals Duo, die veel van de zwakke punten in verband met het proces wegnemen. En meer velden met een hoog risico zullen overgaan naar MFA, of multi-factor authenticatie, wat een derde vereiste toevoegt, zoals een vingerafdruk of aanvullende beveiligingsvragen.

Maar de beste manier om problemen met tweefactorauthenticatie op te lossen, is door een fysiek, op hardware gebaseerd aspect te introduceren. Bedrijven en overheidsinstanties beginnen dat al te eisen voor bepaalde toegangsniveaus. In de nabije toekomst is de kans groot dat we allemaal aangepaste authenticatiekaarten in onze portemonnee hebben, klaar om naar onze apparaten te vegen wanneer we inloggen op services. Het klinkt nu misschien raar, maar met de sterke stijging van cyberbeveiligingsaanvallen, zou het uiteindelijk de meest elegante oplossing kunnen zijn.

Aanbevelingen van de redactie

• Waarom de Nvidia RTX 4060 Ti simpelweg niet genoeg is voor 2023
• Hacker-rangen exploderen - hier is hoe je jezelf kunt beschermen
• Waarom de incognitomodus van Google Chrome niet is wat het beweert te zijn
• Dit is waarom mensen zeggen dat de Nvidia RTX 4090 het wachten niet waard is
• Dit is waarom mensen zeggen om de M1 MacBook Air te kopen in plaats van de M2

Upgrade je levensstijlDigital Trends helpt lezers de snelle wereld van technologie in de gaten te houden met het laatste nieuws, leuke productrecensies, verhelderende hoofdartikelen en unieke sneak peeks.