2FA voor wachtwoorden
Tweefactorauthenticatie: zo betrouwbaar als de dienst zelf
Als een keylogger zich op je computer heeft genesteld kan een kwaadwillende – afgezien van alle andere toetsaanslagen – zelfs het best beveiligde wachtwoord onderscheppen. Op vergelijkbare wijze kan een hacker met behulp van een trojan wachtwoorden stelen die in principe veilig zijn. En wie kan met zekerheid zeggen dat hij nog nooit per ongeluk op een phishing- site zijn eigen inloggegevens heeft prijsgegeven?
Een hulpmiddel tegen dit soort aanvallen is de introductie van een tweede factor bij het inloggen. Die factor bestaat niet uit een geheime tekenreeks die moet worden ingetoetst, maar uit wisselende codes of onkraakbare sleutels. Die zijn idealiter niet van dezelfde machine afkomstig, waardoor kwaadwillenden twee verschillende apparaten zouden moeten hacken, wat een aanval een stuk lastiger en tijdrovender maakt. De eerste factor bestaat uit een code die bij de gebruiker bekend is (het wachtwoord) en de tweede factor is afkomstig van een toestel of token dat de gebruiker in bezit heeft. Met behulp van tweefactorauthenticatie (2FA) kun je een kwaadwillende toch dwarsbomen als je wachtwoord je niet meer beschermt. We laten acht veel voorkomende methoden die voor dit doel worden gebruikt de revue passeren. Die methoden verschillen in veiligheid en bruikbaarheid. Voor sommige moet je extra hardware aanschaffen terwijl andere bestaande apparatuur gebruiken. Niet iedere dienst ondersteunt alle methoden. Als je regelmatig online bent, zul je waarschijnlijk met een stuk of twee, drie 2FA-methoden te maken krijgen. Daarbij geldt in ieder geval: welke 2FA-methode dan ook is beter dan geen 2FA.
Veel inlogpagina's vragen pas na de eerste aanmelding naar een tweede factor. Met een vinkje kan worden aangegeven of de website een cookie mag installeren of dat je bij de volgende aanmelding opnieuw
Of het nu gaat om Google, Facebook of Steam, veel onlinediensten gebruiken van tweefactorauthenticatie zodat je niet meer bang hoeft te zijn dat je wachtwoorden gestolen worden. Welke technieken kun je vertrouwen, wat kosten ze en hoe praktisch zijn ze?
om de inloggegevens gevraagd wordt. Op openbare computers moet je het vinkje altijd verwijderen.
Maximale zekerheid
De codes die bij 2FA worden toegepast, kunnen maar één keer worden gebruikt, zodat kwaadwillenden er verder niets mee kunnen. Een 2FA-inlogpagina zal iemand alleen toelaten als hij de eerstvolgende geldige code intypt. Dan zou hij over het wachtwoord moeten beschikken en bovendien het 2FAprocedé moeten kraken. Het moet aanvallers zo lastig mogelijk worden gemaakt om een aanval uit te voeren, bijvoorbeeld door de codes nooit op de computer te ontvangen waarop ze worden gebruikt. Er moeten dan namelijk gelijktijdig twee apparaten worden gecompromitteerd.
Wat nog beter werkt dan codes, is hardware die speciaal is ontwikkeld om veilige logins te garanderen. Dat zijn behalve smartcards (zoals bankpasjes) ook bijvoorbeeld usb-sticks met smartcardprocessors. Dergelijke hardware-tokens beschikken vaak over twee of drie verschillende inlogprocedures.
De toekomst
Hoe veiliger de tweede factor, des te makkelijker het wordt om zelfs van het wachtwoord van de eerste factor af te zien. Neem bijvoorbeeld de Web Authentication API. Deze standaard maakt niet alleen het inloggen met behulp van hardware-tokens mogelijk, maar biedt bovendien de optie om je zonder wachtwoord aan te melden (zie de link hieronder). Microsoft is van plan om dit aan Windows Hello te koppelen en het gebruik van wachtwoorden compleet af te schaffen. Bij het inloggen via pushnotificatie met Microsoft Authenticator laat Microsoft de vraag naar het wachtwoord nu al achterwege. Google heeft met een klein aantal gebruikers het wachtwoordloos inloggen getest, maar die optie is nog niet voor iedereen toegankelijk. Zolang wachtwoorden nog niet volledig verdwenen zijn, zullen de verschillende authenticatiemethoden nog als eerste, tweede en derde factor naast elkaar blijven bestaan. (nkr)