Maar tweefactorauthenticatie is geen wondermiddel dat hackers kan tegenhouden. Het is een nuttige tegenmaatregel om in uw verdediging te hebben, maar uiteindelijk is het geen vervanging voor een praktische kennis van de grootste bedreigingen waarmee we online worden geconfronteerd.
Aanbevolen video's
Activeer tweefactorauthenticatie waar de mogelijkheid zich ook voordoet, maar maak niet de fout om op de bescherming ervan te vertrouwen als u niet begrijpt waartegen u zich wel en niet kunt verdedigen. Zoals 2016 heeft bewezen, is het beveiligen van gegevens complex en kan overmoed u vatbaar maken voor aanvallen.
Verwant
- Wachtwoorden zijn moeilijk en mensen zijn lui, zo blijkt uit een nieuw rapport
- Twitter heeft geen telefoonnummers meer nodig voor tweefactorauthenticatie
- Google biedt zijn eigen ‘Titan’ USB-beveiligingssleutel voor wachtwoordvrij inloggen
Ben jij wie je zegt dat je bent?
In de kern draait het bij tweefactorauthenticatie om het controleren van inloggegevens. Het is een manier om er zeker van te zijn dat iemand is wie hij beweert te zijn, door twee verschillende soorten bewijsmateriaal te verifiëren. Dit soort systeem bestaat al jaren.
Als u de basisprincipes van computerbeveiliging niet begrijpt, mag u niet op internet bankieren.
Creditcardbetalingen met chip en pincode zijn misschien wel het meest alomtegenwoordige voorbeeld; ze vertrouwen erop dat de gebruiker een fysieke kaart in zijn bezit heeft en kennis heeft van zijn pincode. Terwijl een dief wel een kaart zou kunnen stelen En leer de pincode, het is niet eenvoudig om beide te beheren.
Er was een tijd, nog niet zo lang geleden, waarin financiële transacties de enige reden waren waarom mensen hun identiteit regelmatig moesten verifiëren. Tegenwoordig heeft iedereen die internet gebruikt een scala aan accounts waartoe hij of zij niet zomaar iedereen toegang wil geven, om verschillende redenen.
De financiële sector slaagde er heel gemakkelijk in om tweefactorauthenticatie te implementeren, omdat de enige hardware die gedistribueerd moest worden een bankpas was. Het distribueren van een soortgelijk systeem voor alledaagse websites is vrijwel onmogelijk, dus tweefactor wordt op andere manieren mogelijk gemaakt. En die methoden hebben hun eigen tekortkomingen.
Gebruikerservaring
“Ik ben het echt beu dat alle handige dingen in het leven plotseling te omslachtig worden om te gebruiken”, luidt een commentaar op een bericht uit 2005 SlashDot artikel over de aanstaande opkomst van tweefactorauthenticatie in relatie tot online bankieren. "Ik zou het echt heel erg vinden om een moeilijk teken te hebben om mee te dragen."
“Politici hebben geen idee welke impact dit heeft op de echte wereld”, beaamde een tweede, en betreurde de dreiging dat gebruikers gedwongen zouden worden extra hardware aan te schaffen. “Als je de basisbeginselen van computerbeveiliging niet begrijpt, zou je niet op internet mogen bankieren”, voegde een andere commentator eraan toe.
Tegenwoordig lijken dit soort klachten ronduit dwaas, maar in 2005 dachten gebruikers meer na over de kosten en ergernis van het bij zich hebben van een of andere vorm van tweefactor-token. De reactie van gebruikers kan zelfs nog negatiever blijken als iets dat minder belangrijk is dan het bankwezen, wordt beschermd. In 2012 werd na het bedrijf een class action-rechtszaak aangespannen tegen game-ontwikkelaar Blizzard Entertainment introduceerde een authenticator-randapparaat dat is ontworpen om de Battle.net-accounts van gebruikers te beschermen, volgens een rapport van de BBC.
LastPass
Er zijn al sinds de jaren tachtig pogingen ondernomen om dit soort tweefactorauthenticatie te implementeren, toen Security Dynamics Technologies patenteerde een “methode en apparaat voor het positief identificeren van een individu.” Tegen de jaren 2000 waren de infrastructuur en de productiecapaciteit dat wel voor organisaties variërend van financiële instellingen tot uitgevers van videogames om hun eigen middelen van twee factoren af te dwingen authenticatie.
Helaas hebben gebruikers besloten niet mee te werken. Of de tweede authenticatiefactor nu zo eenvoudig was als een LCD-scherm dat een unieke code afleverde, of zo complex als een vingerafdrukscanner, het idee van het hebben van nog een ander stuk fysieke hardware – en mogelijk één voor elke andere dienst waarvoor een unieke login nodig was – was onaantrekkelijk voor de massa's.
Het is mogelijk om je een alternatieve geschiedenis voor te stellen waarin twee factoren vanwege dit probleem nooit aansloegen. Gelukkig voor ons introduceerde Apple de iPhone en introduceerde Google Android. Smartphones brachten een apparaat dat tweefactorauthenticatie mogelijk maakt in de handen van miljarden mensen over de hele wereld, waarmee het gemaksprobleem werd opgelost waarover gebruikers in 2005 klaagden.
Smartphones zijn handig, maar hebben hun eigen risico's
Door het alomtegenwoordige karakter van smartphones hebben sites en services de rompslomp van het tweefactorauthenticatieproces kunnen wegnemen. "Degenen die je mobiele telefoon gebruiken, zijn over het algemeen heel gemakkelijk te gebruiken en hebben een zeer lage impact", zei beveiligingsexpert en Harvard-collega Bruce Schneier eerder deze maand in een gesprek met Digital Trends. “Omdat het iets is dat je al hebt. Het is niet iets nieuws dat je met je mee moet dragen.”
Het is mogelijk om je een alternatieve geschiedenis voor te stellen waarin twee factoren nooit aansloegen.
In bepaalde scenario's kan deze aanpak duidelijke voordelen bieden. Als u bijvoorbeeld vanaf een nieuwe computer inlogt bij een dienst, wordt u mogelijk gevraagd een code in te voeren die naar een vertrouwd apparaat is verzonden, naast uw standaardwachtwoord. Dit is een goed voorbeeld van hoe u tweefactorauthenticatie kunt gebruiken; iemand anders kan uw wachtwoord hebben gestolen en heeft geprobeerd in te loggen op het bijbehorende account vanaf zijn/haar systeem. Tenzij hij of zij uw telefoon al heeft gestolen, kan hij of zij geen toegang krijgen.
Er zijn echter bedreigingen die dit soort bescherming eenvoudigweg niet aankan. In 2005 schreef Schneier dat “tweefactorauthenticatie niet onze redder is” in een blogpost zich te verdiepen in zijn zwakheden.
Vervolgens beschreef hij hoe een man-in-the-middle-aanval de gebruiker ertoe kon brengen te denken dat hij of zij op een legitieme website en overtuig hen om beide vormen van authenticatie aan te bieden naast een valse login scherm. Hij merkt ook op dat een Trojaans paard zou kunnen worden gebruikt om een legitieme login te ondersteunen die werd uitgevoerd met behulp van twee vormen van authenticatie. Er is ook het probleem van het centraliseren van de beveiliging op één apparaat; de meeste mensen gebruiken een twee-factor-smartphone voor meerdere websites. Als die telefoon wordt gestolen en gecompromitteerd, lopen al die sites gevaar.
Kennis is macht
“Als je inlogt op je account, is tweefactor geweldig”, zegt Schneier. “Mijn universiteit, Harvard, gebruikt het, mijn bedrijf gebruikt het. Veel mensen hebben het overgenomen en het is erg handig. Maar waar ik toen over schreef, het probleem was dat het werd gezien als een wondermiddel, het zal alles oplossen. Natuurlijk weten we dat dit niet het geval is.”
Financieel gewin zal kwaadwillende hackers altijd motiveren om nieuwe technieken te ontwikkelen om toegang te krijgen tot de accounts van anderen. Zolang het een voordeel heeft om de inloggegevens van iemand anders te bezitten, zullen we zien dat hacking voortdurend evolueert.
“Er zijn veel verschillende bedreigingen en veel verschillende beveiligingsmechanismen”, legt Schneier uit. “Er is niet slechts één bedreiging, niet slechts één mechanisme, er zijn veel bedreigingen en veel mechanismen.”
De beste verdediging is een voortdurende stroom van nieuwe en verbeterde tegenmaatregelen. Als we doorgaan met het wijzigen en bijwerken van de methoden die we gebruiken om onze accounts veilig te houden, maken we het moeilijker voor iedereen die zonder toestemming toegang probeert te krijgen.
Helaas hebben de aanvallers het initiatief. Het duurde jaren voordat tweefactorauthenticatie door de massa werd geaccepteerd. Naarmate er nieuwe vormen van bescherming beschikbaar komen, moeten wij als gebruikers ons ertoe verbinden hiervan te profiteren. En dat brengt ons meteen terug op de Slashdot-forums, circa 2005. We worden allemaal weer gebruikers die klagen over gemak, in plaats van ons zorgen te maken over de veiligheid.
Het is moeilijk te negeren hoe gemeengoed grootschalige hacks zijn geworden, en er zijn geen tekenen dat deze vorm van criminaliteit zal uitsterven. Er is geen verdediging die 100 procent in staat is om welke aanval dan ook te blokkeren; Criminelen zullen altijd een manier vinden om zelfs de kleinste zwakte uit te buiten. Hoewel het niet eenvoudig is, is de beste manier om online veilig te blijven, je bewust te zijn van de bedreigingen en je bewust te zijn van wat je kunt doen om je tegen die bedreigingen te beschermen.
Online beveiliging is als het betalen van een verzekering of naar de tandarts gaan. Het lijkt niet zo belangrijk, totdat het dat wel is. Het is niet voldoende om eenvoudigweg in te stemmen met de vormen van bescherming die we door verschillende sites en diensten worden geboden. Weten tegen wat voor soort aanvallen deze beveiligingen ons beschermen – en tegen welke niet – is de enige manier om de leiding te nemen over uw eigen veiligheid.
Aanbevelingen van de redactie
- De twee-factor-authenticatie van Twitter ondervindt problemen. Hier leest u hoe u van methode kunt wisselen
- Dit is de reden waarom mensen zeggen dat tweefactorauthenticatie niet perfect is
- Hackers vinden een manier om de tweefactorauthenticatie van Gmail te omzeilen
