Een driehoek, die altijd in de linkerbovenhoek hangt Een driehoek, die altijd in de rechterbovenhoek hangt

Gebruik two-factor authentication voor het te laat is

Terwijl je dit leest is de kans groot dat internetcriminelen jouw persoonlijke gegevens en wachtwoorden proberen te achterhalen. Deze zijn waardevol omdat hiermee jouw identiteit gebruikt kan worden voor duistere zaken. Of omdat ze toegang kunnen geven tot netwerken, informatie, geld of nog meer wachtwoorden.

Cybercriminelen gebruiken steeds geavanceerdere methoden en technieken. Ook geven onbedoelde informatielekken soms genoeg informatie om zomaar als jou in te loggen. Daarmee is het simpele gebruik van een een gebruikersnaam en wachtwoord voor veel online toepassingen eigenlijk onvoldoende. Door meerdere beveiligingslagen te gebruiken om je data te beschermen maak je het criminelen een stuk moeilijker. Het gebruik van two-factor authentication is een goed voorbeeld van zo’n extra beveiliging. En je kunt het voor meer toepassingen gebruiken dan je denkt!

Online toegangsbeveiliging

Inloggen op een online applicatie kan op verschillende manieren en bestaat in ieder geval uit drie stappen:

  1. Identificatie: je identiteit wordt bekend gemaakt aan een applicatie. Bijvoorbeeld met je gebruikersnaam.
  2. Authenticatie: je bewijs van identiteit, meestal je wachtwoord, wordt gecontroleerd.
  3. Autorisatie: je krijgt toegang tot de applicatie.

Voor de authenticatie zijn er verschillende manieren om je identiteit te bevestigen. Dit worden authenticatiefactoren genoemd. Deze factoren kunnen verband houden met:

  1. Iets dat je kent of weet (bijvoorbeeld een pincode of wachtwoord).
  2. Iets dat je hebt (bijvoorbeeld een mobiele telefoon, speciale USB of een token).
  3. Iets dat je bent (vingerafdruk, iris, gezicht of een andere biometrische eigenschap).

Je zal het al raden: gebruik je één factor dan maak je gebruik van single-factor authentication. Bij twee factoren is het two-factor authentication. Bij gebruik van nog meer factoren spreek je van multi-factor authentication.

Two-factor of two-step authentication?

In het algemeen worden de termen two-factor authentication en two-step authentication veel door elkaar gebruikt. Je spreekt over two-step authentication als je twee maal dezelfde authenticatiefactor gebruikt voor autorisatie. Bijvoorbeeld een vingerafdruk én irisscan (2 maal iets wat je bent).

Vanuit beveiligingsoogpunt is een wachtwoord + code die je op je telefoon ontvangt ook two-step authentication. Kritisch bekeken is de sleutel niet de telefoon zelf is, maar informatie die erop staat.

Voor het gemak wordt in dit artikel de term two-factor authentication gebruikt voor beide manieren. Neemt niet weg dat hoe je het ook noemt je het cyberboeven heel erg moeilijk maakt als je het gebruikt.

Niet ingewikkeld

Two-factor authentication klinkt misschien ingewikkeld, maar als je jouw boodschappen afrekent met je pinpas maak je er al gebruik van. Hierbij gebruik je als authenticatiefactoren iets dat je hebt (je pinpas) en iets dat je weet (je pincode).

Online zie je vaak een combinatie van iets dat je kent (wachtwoord) en iets dat je hebt (je reader voor internetbankieren). Door het sturen van bijvoorbeeld een code per SMS of door gebruik te maken van een speciale app op je smartphone. Met de code van de telefoon bevestig je de tweede factor: het bezit van de telefoon.

Gebruik two-factor authentication!

Two-factor authentication gebruik je het liefst altijd als dit wordt ondersteund door de applicatie die je gebruikt. Natuurlijk gebruik je alleen maar sterke en unieke wachtwoorden voor elk account. Toch?

Zelfs als je de meest ingewikkelde wachtwoorden gebruikt is dat nog geen garantie voor veiligheid. Er zijn tal van manieren waardoor jouw wachtwoord in handen kan vallen van kwaadwillenden.

Met geïnfecteerde software, een klik op een verkeerde link, een hack, lek of het kwijtraken van je notitieboekje liggen je gegevens zo op straat. Inloggen op jouw account is dan een eitje. Met een extra beveiligingslaag in de vorm van two-factor authentication hou je boeven buiten. Zelfs als ze je wachtwoord hebben.

Breed ondersteund

Steeds meer online services ondersteunen het gebruik van two-factor authentication. Daarbij wordt gebruik gemaakt van een code die als SMS wordt verstuurd naar je mobiele telefoon. Of van een app als Google Authenticator, Authy of Microsoft Authenticator als je veel gebruik maakt van Microsoft producten.

Via twofactorauth.org ontdek je of een website die je gebruikt two-factor ondersteunt en hoe je deze instelt. Hieronder geven we alvast een beknopt overzicht van populaire services:

  • Apple: ga naar Mijn Apple ID > Selecteer Beheer uw Apple ID en log in > Wachtwoord en beveiliging > Kies tweestaps-verificatie in de optie ‘Aan de slag’.
  • Campaign Monitor: klik je profielafbeelding > Manage team > onder ‘People’ in your Account kies ‘Enable two-step verification’ > volg de stappen
  • Dropbox: klik op je profielafbeelding > Settings > Security > activeer ‘Two-step verification’
  • Facebook: ga als je ingelogd bent naar Instellingen > Beveiliging > Aanmeldgoedkeuringen.
  • Google en Gmail: beter kunnen wij het niet uitleggen, lees deze tutorial van Google (EN).
  • LinkedIn: zorg dat je ingelogd bent en activeer two-step authentication.
  • Mailchimp: ga naar Account > Settings > Security > Maak hier een keuze voor authenticatie via app of SMS en doorloop de stappen.
  • Microsoft / Outlook.com: via Accountinstellingen > Beveiligingsgegevens.
  • Twitter: ga naar Beveiliging en privacy en activeer 'Inlogverificatie'.
  • Wordpress: kan met een plugin tweestapsverificatie ondersteunen met Google Authenticator.
  • Yahoo: ga naar Account Beveiliging > Zet de toggle button naast ‘Two-step verification’ op ‘on’ > vul je mobiele nummer in > vul de ontvangen code in en bevestig.

Authenticator App of SMS?

Kun je bij het instellen van two-factor authentication kiezen voor authenticatie per SMS of het gebruik van authentication app? Kies dan voor de app. Mobiele telefoonnummers kunnen gekaapt worden en SMS-berichten onderschept. In Wired verscheen hierover een toegankelijk artikel (EN). Ook geeft een authenticator app wat meer gebruiksgemak omdat deze niet afhankelijk hoeft te zijn van een internetverbinding of mobiel netwerk. Vergeet niet: beter two-factor per SMS dan helemaal geen two-factor authentication!

Two-factor zonder smartphone

Zonder smartphone is two-factor authorisation ook mogelijk. Bijvoorbeeld door het gebruik van een beveiligingssleutel (dongle). Deze methode is zelfs veiliger dan het gebruik van een telefoon. De meesten werken via USB, Bluetooth, NFC of een speciale kaartlezer. De Google Titan, Yubikey en Feitian worden breed ondersteund. Enkele ondersteunen ook biometrische authenticatie. Deze dongles maken gebruik van Universal 2nd Factor (U2F) of Initiative for Open Authentication (OATH) protocol. Bekijk voor aanschaf altijd even welke services authenticatie met deze dongles ondersteunen.

Daarnaast wordt ook andere hardware gebruikt om two-factor authentication mogelijk te maken. Vaak gebaseerd op de ‘wat je hebt’ authenticatiefactor. Denk bijvoorbeeld aan de specifieke hardware (tokens) die wordt gebruikt bij het online bankieren, smartcards binnen bedrijven of chipcards binnen de zorg.

Nadelen en conclusie

Natuurlijk zijn er ook nadelen aan het gebruik van two-factor authentication. Denk bijvoorbeeld aan:

  • Kwijtraken factor: je mobiele nummer verandert, of je raakt een dongle kwijt. Gelukkig wordt er rekening gehouden met deze scenario’s door online diensten.
  • Vals gevoel van veiligheid: two-factor authentication zal nooit helemaal waterdicht zijn. Het gebruiken van meerdere factoren mag geen excuus zijn om één van de factoren gammel te laten zijn. Een identiek of makkelijk wachtwoord op al je accounts gebruiken bijvoorbeeld. Of het laten slingeren van je niet gelockte telefoon. Om maar wat te noemen.
  • Minder gebruiksvriendelijk: authenticatie met meerdere beveiligingslagen bestaat hoe dan ook uit meer handelingen, interactie en meer tijd.

Toch wegen de voordelen ruimschoots op tegen de nadelen. De gevolgen van een overgenomen account kunnen desastreus zijn. Dat staat niet in verhouding met de kleine moeite die het kost om two-factor authentication te gebruiken. Zeker gezien de hoeveelheid en aard van de gegevens die we nu gewend zijn online op te slaan. Gebruik het waar mogelijk!

Tips

  • Onze belangrijkste tip: gebruik two-factor authentication waar mogelijk. En gebruik het minimaal op je mailaccount welke je gebruikt voor communicatie over andere accounts.
  • Natuurlijk heb je niets aan allerlei veiligheidsmaatregelen als je computer, laptop of smartphone makkelijk toegankelijk zijn voor anderen.
  • Soms krijg je de mogelijkheid om two-factor uit te schakelen voor vertrouwde apparaten. Doe dat niet. Daarmee help je de hele beveiligingslaag die je hebt opgezet - in ieder geval op dat apparaat - om zeep.
  • Gebruik een wachtwoordmanager voor je wachtwoorden. Bij Superlatief zijn we fan van 1Password. Deze software kun je zelfs inzetten als two-factor authenticator.
  • Ben bewust van welke informatie je online deelt en hoe deze ingezet kan worden om jouw of je omgeving te manipuleren. Met Social Engineering lukt het hackers ondanks beveiligingsmaatregelen als two-factor authentication regelmatig om accounts over te nemen.

Oven ons

Digital agency Superlatief ontwikkelt bedrijfskritische online applicaties en websites. Online beveiliging is daarbij een belangrijk onderdeel. Heb je vragen, wil je ons iets voorleggen of reageren? Neem gerust contact op!