TAN-lijs­ten

C’t Magazine - - Knowhow | Tweefactorauthenticatie -

De een­vou­dig­ste vorm van 2FA be­staat uit een lijst met co­des die dien­sten hun ge­brui­kers na re­gi­stra­tie ver­strek­ken. El­ke co­de kan slechts één keer wor­den ge­bruikt, zo­dat het voor een aan­val­ler zin­loos is om de be­tref­fen­de co­de sa­men met het wacht­woord te ste­len. Er kan met de­zelf­de co­de ten­slot­te niet nóg een keer wor­den in­ge­logd.

Veel men­sen ken­nen de TAN­lijs­ten wel om­dat je die vroe­ger van je bank kreeg om on­li­ne be­ta­lin­gen te kun­nen doen. Om­dat die TAN­co­des op een vel pa­pier ston­den, kon­den tro­jans op de com­pu­ter het wacht­woord wel re­gi­stre­ren, maar be­dra­gen over­schrij­ven was on­mo­ge­lijk om­dat al­le eer­der in­ge­voer­de TAN-co­des on­bruik­baar wa­ren. He­laas lag die TAN-lijst in de prak­tijk vaak er­gens an­ders, of slin­ger­den er ko­pie­ën op meer­de­re plek­ken rond, waar­door er toch re­la­tief een­vou­dig mis­bruik van kon wor­den ge­maakt. Daar­om wordt er steeds min­der met die TAN-lijs­ten ge­werkt. Goog­le, Fa­ce­book, Twitter, Mi­cro­soft, Steam en Drop­box ge­brui­ken de­ze pro­ce­du­re nog als back-up voor als al­le an­de­re 2FA-me­tho­den mis­luk­ken. Het ver­zoek om zo'n lijst af te druk­ken en niet di­gi­taal op te slaan, moet je ze­ker op­vol­gen aan­ge­zien een tro­jan met toe­gang tot het toet­sen­bord vrij­wel ze­ker ook toe­gang zal heb­ben tot het be­stand met TAN-co­des. De vei­lig­heid is dan ook al­leen ge­waar­borgd als aan­val­lers niet in staat zijn om de lijst te be­mach­ti­gen.

TAN-lijs­ten wor­den te­gen­woor­dig al­leen nog als back-up ge­bruikt voor het ge­val an­de­re me­tho­den niet wer­ken.

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.