Push-no­ti­fi­ca­tie

C’t Magazine - - Knowhow | Tweefactorauthenticatie -

In plaats van co­des in te voe­ren die via ip-ver­keer wor­den ont­van­gen, zo­als bij de apps voor in­ter­net­ban­kie­ren, kan een app het ant­woord ook een­vou­dig 'per ke­ren­de post' te­rug­stu­ren. Daar­toe dien je wel te be­ves­ti­gen dat de in­log­po­ging le­gi­tiem was. Be­hal­ve de be­ves­ti­gings­knop is er een knop om het pro­ces af te bre­ken. Daar kan de be­tref­fen­de dienst mee op de hoog­te wor­den ge­steld van een mo­ge­lij­ke aan­val.

Of de dienst daar­bij met HOTP, TOTP (zie de ko­lom­men hier­naast), wil­le­keu­rig ge­ge­ne­reer­de TAN-co­des, lan­ge­re binaire co­des of asym­me­tri­sche ver­sleu­te­ling werkt, is voor een ge­brui­ker die wil in­log­gen niet te zien. Je moet er dan maar op ver­trou­wen dat het door de dienst en zijn app-ont­wik­ke­laars aan­ge­bo­den pro­ce­dé vei­lig is. Goog­le heeft het in­log­gen via pus­h­no­ti­fi­ca­ties ge­ïm­ple­men­teerd mid­dels de op An­droid-smartpho­nes voor­ge­ïn­stal­leer­de Play-ser­vi­ces. In­log­gen is daar­door snel­ler dan met SMS-TAN en ook min­stens zo vei­lig. De pro­ce­du­re is ech­ter niet ge­stan­daar­di­seerd, zo­dat dien­sten het be­ves­ti­gings­ver­zoek al­leen naar hun ei­gen apps kun­nen stu­ren. Als je niet voor elk ac­count een bij­be­ho­ren­de app wilt in­stal­le­ren, dan zul je dan ook een an­de­re op­los­sing moe­ten zoe­ken.

Naast Goog­le on­der­steu­nen ook Fa­ce­book, Mi­cro­soft en Steam een in­log­be­ves­ti­ging via push-no­ti­fi­ca­tie.

In plaats van een co­de in te moe­ten ty­pen is het voor Fa­ce­book vol­doen­de als je het in­log­gen op je mo­bie­le te­le­foon be­ves­tigt.

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.