INTERNETBEVEILIGINGSUPDATE: tweefactorauthenticatie en multifactorauthenticatie

Halverwege de jaren tachtig, toen ik mijn reis met computerelektronica begon, hadden mensen niet meerdere online accounts zoals tegenwoordig. Als u een computergerelateerd ‘account’ had, was u waarschijnlijk verbonden met een overheidsinstantie, onderzoeksinstelling of een soort academische wereld, waarbij gebruik werd gemaakt van ARPANET, CSNET OF NSFNET, de voorlopers van het moderne internet.

Als alternatief, als je net als ik was en beperkt tot meer bescheiden computerambities, gebruikte je een ‘thuiscomputer’ (de mijne was een Commodore 64) en verbonden met ‘Bulletin Board-systemen’, die vergelijkbaar waren met die van het moderne internet, met behulp van een teller . – Het modem instellen via telefoonnetwerken. U kunt zich ook abonneren op consumentgerichte netwerkdiensten zoals FidoNet of Compuserve, die per minuut in rekening worden gebracht.

Om toegang te krijgen tot al deze prachtige technologieën, gebruikte je, net als vandaag, een ‘account’, dat bestond uit een gebruikersnaam (toegewezen of door jou bedacht) en een wachtwoord. Deze twee dingen ontsloten alle deuren naar het internet die hij had. De wachtwoordvereisten waren eenvoudig; veiligheid was geen belangrijk aandachtspunt en cybercriminaliteit kwam relatief zelden voor.

Snel vooruit naar vandaag, en de dingen zijn dramatisch veranderd. Hoewel de onlinecriminaliteit tot kolossale pandemische proporties is geëxplodeerd, gebruiken we nog steeds gebruikersnamen en wachtwoorden. Hoewel de wachtwoordvereisten strenger zijn geworden en de veiligheid steeds belangrijker is geworden, hebben we meer nodig in de strijd om online veilig te blijven; gebruikersnamen en wachtwoorden zijn niet langer voldoende. Voer 2FA en MFA in.

Twee-factor-authenticatie (2FA) en multi-factor-authenticatie (MFA) zijn termen die in wezen hetzelfde beschrijven: een manier om aanvullend bewijs (‘factoren’ genoemd) te presenteren om te bewijzen dat u bent wie u zegt dat u bent wanneer u probeert toegang krijgen tot een onlinedienst. Het hele proces wordt “authenticatie” genoemd, dat wil zeggen dat u te goeder trouw bent, of “authentiek”, de echte “jij”.

Het oude gebruikersnaam/wachtwoord-model gebruikt slechts één “factor”, namelijk het wachtwoord. Eén reden om nog een ‘factor’ te hebben, is dat zoveel wachtwoorddatabases zijn gehackt en zichtbaar zijn voor iedereen die ernaar wil kijken. Sommige mensen maken zich ook schuldig aan het gebruik van zwakke, gemakkelijk te raden wachtwoorden die ze nooit veranderen. Een andere reden om nog een “factor” nodig te hebben, is dat veel mensen hetzelfde wachtwoord gebruiken voor al hun accounts. Als er meer factoren zijn, wordt het voor de verkeerde persoon moeilijker om toegang te krijgen tot een account.

Factoren zijn onder meer iets dat u heeft (zoals een bankpas), iets dat u weet (zoals een wachtwoord of pincode), iets dat u bent (biometrisch, zoals een vingerafdruk of andere fysieke kenmerken die uniek zijn voor u), en de plek waar u zich bevindt (zoals zoals verbonden met een specifiek netwerk of locatie-informatie zoals GPS).

Het meest voorkomende gebruik van meervoudige authenticatie is het verzenden van een code in een sms-bericht naar uw telefoon wanneer u probeert in te loggen op een online account. Je logt bijvoorbeeld in bij Amazon door je wachtwoord (de eerste factor) in te voeren. Amazon stuurt je een code die je moet invoeren (de tweede factor) en vervolgens mag je je Amazon-account gebruiken.

Hoewel het nog steeds veel wordt gebruikt, wordt het gebruik van sms-berichten als manier om MFA/2FA-codes te verkrijgen helaas niet langer aangeraden. De slechteriken van internet hebben veel verschillende manieren gevonden om de tekstmethode te hacken. Microsoft heeft afgelopen november zelfs een waarschuwing uitgegeven waarin staat dat mensen vanwege veiligheidsoverwegingen moeten afstappen van op sms gebaseerde 2FA en authenticatie-apps zoals Authy, Microsoft Authenticator of “token secure” zoals de YubiKey moeten gaan gebruiken.

Volgende kolom: hoe gebruik je MFA/2FA-tools zoals Authy en Yubikey.

Dave Moore, CISSP, repareert sinds 1984 computers in Oklahoma. Hij is oprichter van de non-profitorganisatie Internet Safety Group Ltd en geeft ook gemeenschapstrainingsseminars over internetveiligheid. Hij is te bereiken op 405-919-9901 of internetsafetygroup.org