Two Factor Authentication (2FA)

Clouddiensten worden steeds populairder. Je kunt ze over de hele wereld gebruiken en het enige dat je nodig hebt is toegang tot het internet. En natuurlijk je gebruikersnaam en wachtwoord om toegang te krijgen tot je cloudaccount.

Ongetwijfeld herken je een aantal van de volgende clouddiensten: Microsoft 365, Google, iCloud, 1Password etc.

In het kort

Koop een fysieke 2FA-sleutel en koppel hem aan iedere clouddienst die het ondersteunt. Dit verhoogt je cyber security en het reduceert je risico om te worden gehackt. Noteer waar je je sleutel in gebruik hebt en voeg een 2FA-sleutel toe voor de beheerder van je bedrijf om te voorkomen dat je jezelf ooit buitensluit van je accounts.

Beveiliging is helaas niet te koop in een doos. We kunnen het hooguit moeilijker maken (minder waarschijnlijk) dat je wordt gehackt. En terwijl we proberen de boeven buiten de deur te houden, moeten we ons voorbereiden op de vraag: Hoe komen we erachter dat onze beveiliging heeft gefaald? Hebben we instrumenten om de boeven te detecteren? Detectie bespreken we een andere keer.

2FA is een toevoeging voor je beveiliging. Het is geen vervanging voor een goed wachtwoord. 2FA is geen cyber security strategie an sich.

2FA is een hulpmiddel dat al enige tijd beschikbaar is. Het wordt tijd dat je het gaat gebruiken!

Wachtwoorden

Clouddiensten slaan je wachtwoord niet op in platte tekst, maar ze bewaren een hash – een checksum – van je wachtwoord.

Ik vergelijk het weleens met een gehaktmolen, waar vlees in gaat en waar gehakt uit komt. Je wachtwoord is het vlees en het gehakt is de hash. Belangrijk is dat de gehaktmolen maar een richting op werkt. Als je gehakt terugdraait, krijg je niet het oorspronkelijke vlees. Zo werkt het ook met hashing van wachtwoorden.

Wanneer je probeert in te loggen, stopt de server je wachtwoord in de gehaktmolen en vergelijkt het gehakt met het opgeslagen gehakt. Als het gehakt overeenkomt, klopt je wachtwoord en krijg je toegang tot de clouddienst.

Goede wachtwoorden zijn lastig om te kiezen. De hashes (gehakt) van alle wachtwoorden tot en met acht tekens zijn allemaal al uitgerekend op het internet. Wanneer een clouddienst wordt gehackt, krijgen de boeven toegang tot de hashes van de wachtwoorden. Als jouw wachtwoord acht tekens of minder is, kunnen de dieven jouw hash herkennen en dan is je beveiliging verbroken. Als je uitsluitend unieke wachtwoorden zou gebruiken, dan blijft de schade beperkt tot de gehackte clouddienst. Dat is al erg genoeg. Maar zou je datzelfde wachtwoord ook op andere clouddiensten hebben gebruikt, dan zijn ook die niet meer veilig. Om deze reden zou iedereen een wachtwoordmanager zoals 1Password moeten gebruiken. Daarmee zorg je dat al je wachtwoorden uniek zijn en op zijn minst tien karakters lang.

0nveil19

Slecht wachtwoord – lijkt ingewikkeld, maar het bestaat uit slechts acht tekens
Populaire wachtwoorden

beter-wachtwoord

Beter wachtwoord, want het is langer – toch bevat het twee woorden die uit het woordenboek komen, wat het makkelijk maakt om te kopiëren/plakken, maar ook makkelijker om te “raden”
Een wachtwoord van 20 tekens, gegenereerd door 1Password. Dat is geweldig! 🙂

Terwijl de computers steeds krachtiger worden, zijn op termijn alle wachtwoorden kwetsbaar. Gebruik een wachtwoordmanager en voer onderhoud uit op je wachtwoorden – verander ze van tijd tot tijd. Zo hou je je wachtwoorden veilig.

Toch kan je wachtwoord makkelijk uitlekken. Als je op reis bent en je gebruikt een computer in een internetcafé of hotellobby, kun je slachtoffer worden van een keylogger. Dat kan een stukje software zijn of zelfs hardware. Een keylogger slaat iedere toetsaanslag op die je invoert, met inbegrip van je gebruikersnaam, wachtwoord en alles wat je daarna nog intoetst. Hardwarematige keyloggers zijn ondetecteerbaar en daarom moet je alleen apparatuur gebruiken die je vertrouwt.

Dat betekent: gebruik alleen apparatuur die is gekocht en beveiligd door je bedrijf, zoals de computer op je werk, laptop, iPad of mobiele telefoon van de zaak. Alle overige apparatuur kan niet worden beveiligd door je bedrijf en die kun je daardoor niet vertrouwen om op te werken. Sterker nog: ik zou niet eens een privémail mee versturen. Of je je privécomputer thuis vertrouwt om je werk op te doen, is een zaak tussen jou en je werkgever.

Een keylogger “luistert je toetsenbord af”. Ook dataverkeer is belangrijk. Als je een vreemd apparaat gebruikt, heb je geen controle over het dataverkeer en wie er meeluistert. Dataverkeer kan worden afgeluisterd door een Man-in-the-Middle (MitM). Dat kan een persoon of organisatie zijn die tussen jou staat en de partij waarmee je denkt te communiceren. Het is veiliger om te surfen via de hotspot van je eigen (bedrijfs)telefoon dan via de “gratis” WiFi van Starbucks of je hotel.

Hardware keylogger tussen de computer en toetsenbord – slaat elke toetsaanslag op, inclusief je wachtwoord!

We kunnen veilig vaststellen dat in 2023 een gebruikersnaam en wachtwoord alleen niet voldoende zijn om je cloudaccounts te beveiligen. Daarom bestaat Two Factor Authentication (of kort: 2FA) – ook wel Tweestapsverificatie of Tweestapsauthenticatie genoemd. 2FA voegt een tweede laag toe aan je beveiliging, bovenop je gebruikersnaam/wachtwoord.

Er bestaan verschillende vormen van 2FA.

SMS 2FA

De bekendste vorm van 2FA is SMS-authenticatie. Als je een nieuwe Gmail-account maakt, vraagt Google om je mobiele nummer en sturen ze er een SMS naartoe. Hoewel het beter is om SMS 2FA te hebben dan geen 2FA, is SMS de zwakste vorm van 2FA. SIM-kaarten kunnen makkelijk worden gekloond door boeven en sommige clouddiensten hebben speciaal beveiligingsbeleid om SMS 2FA helemaal uit te schakelen voor je hele bedrijf. Als het kan schakel dan SMS 2FA uit en upgrade je beveiliging naar een betere vorm van 2FA.

Authenticator 2FA

Waarschijnlijk heb je wel een Google of Microsoft Authenticator op je iPhone of Android. Deze app produceert een code (meestal zes cijfers) die bijvoorbeeld iedere 60 seconden verandert. Deze code heet een One Time Password (kort: OTP). Het “zaadje” (of seed) waardoor je code iedere minuut verandert heet een secret key (geheime sleutel of lang wachtwoord) die meestal wordt weergegeven als QR-code. Als je van deze QR-code een kopie bewaart op een onveilige plaats (bijvoorbeeld een screenshot), dan loop je het risico dat iemand je secret key kan klonen. Microsoft Authenticator heeft een voorziening waarmee je een backup van je secret key in hun Microsoft Cloud kunt bewaren. Dat is natuurlijk super handig, alleen als jij je secret key uit de Microsoft Cloud kunt terugzetten, dan kan iedereen dat die toegang heeft tot jouw Microsoft account. De Google Authenticator heeft deze voorziening niet, maar heeft wel de optie om je secret keys te exporteren als je een nieuwe telefoon gaat installeren. Je oude telefoon moet het dan nog wel doen.

Je kunt verschillende apparaten hebben waarop dezelfde secret key staat. Dat betekent dat jouw Authenticator app tegelijkertijd kan draaien op je iPhone, iPad en Android. Je gebruikt het apparaat dat je toevallig in de buurt hebt om jouw OTP-code te genereren. Je zult begrijpen dat het handig is om meer dan een enkel apparaat te hebben, maar je moet je apparaten goed in de gaten houden. Als iemand een van je apparaten steelt, kan het lang duren voordat je erachter komt dat iemand anders toegang heeft tot jouw Authenticator 2FA!

Fysieke 2FA

Je kunt ook een fysieke 2FA USB-sleutel gebruiken om je cloudaccounts te beveiligen. Een sleutel kan je hangen aan meer dan een enkele clouddienst. Omgekeerd ondersteunen de meeste clouddiensten meer dan een enkele sleutel per account. Hiermee kun je krachtige combinaties maken. Je bedrijf kan bijvoorbeeld een enkele fysieke sleutel kopen om deze te koppelen aan de cloudaccounts van alle werknemers. Als je baas deze sleutel in de kluis bewaart, kan hij daarmee voorkomen dat zijn medewerkers thuis inloggen op de cloudaccount van hun werk. Ze hebben immers de sleutel niet.

Je kunt ook per medewerker een fysieke sleutel verstrekken. Op deze manier hebben je medewerkers zelf de controle over waar ze kunnen inloggen. Naast individuele sleutels zou je bovendien nog een bedrijfssleutel kunnen toevoegen aan de individuele cloudaccounts, bijvoorbeeld voor een beheerder. Hetzelfde kun je doen met een teamleider/teamlid en zelfs partners/ouders/kinderen in een gezinssituatie. Als de ene persoon zijn/haar sleutel niet bij de hand heeft, kun je altijd de sleutel van de ander gebruiken om in te loggen. Je kunt beter drie fysieke 2FA-sleutels aan je account hangen dan geen 2FA!

Als je bedrijf een een fysieke 2FA-sleutel voor je heeft aangeschaft, is er geen technische reden waarom je diezelfde sleutel niet zou gebruiken om je persoonlijke Facebook of Gmail te beveiligen. Als je ooit je bedrijf zou verlaten en je moet de fysieke 2FA-sleutel inleveren, dan is het handig als je weet aan welke accounts je je sleutel had gekoppeld, zodat je je persoonlijke sleutel eraan kunt verbinden. Je kunt natuurlijk ook op dag 1 een persoonlijke sleutel aanschaffen en die aan je persoonlijke accounts hangen. Fysieke 2FA-sleutels zijn beschikbaar in verschillende kleuren/jasjes, net als de sleutels van je huis.

Ook als je je 2FA-sleutel ooit kwijtraakt of hij wordt gestolen, dan is het handig als je een lijst hebt van waar je hem in gebruik had, zodat je je oude sleutel kunt verwijderen en je nieuwe toevoegen. Maak die lijst voordat het te laat is!

De vinder van je sleutel kan er trouwens niets mee – ze hebben je naam en wachtwoord natuurlijk ook nodig!

Fysieke 2FA USB-sticks USB-C links – USB-A rechts

PIN-code

Als je je fysieke 2FA-sleutel koppelt aan een clouddienst, dan kan de dienst vragen om een PIN-code te kiezen. Hiermee verzegel je je eigendom. Zodra je je PIN-code hebt ingesteld, zal het systeem hierom vragen als je de volgende clouddienst gaat koppelen. Zo weten ze zeker dat jij de eigenaar bent van de sleutel. Als je de PIN-code ooit zou vergeten, dan is het technisch mogelijk om de sleutel te resetten en de PIN-code te wissen, maar dat gaat ten koste van alle koppelingen met jouw cloudaccounts.

Bewaar die PIN-code dus op een veilige plaats, bijvoorbeeld je wachtwoordmanager.

Sommige fysieke 2FA-sleutels beschikken over Near Field Communication, of NFC. Dat werkt net als bij contactloos betalen. Je houdt je sleutel tegen de achterkant van je iPhone/Android om in te loggen op je account. Er bestaan sleutels met Lightning (Apple) of MicroUSB-aansluiting, maar het overgrote deel van de apparaten ondersteunt het “gangbare” USB type A. Koop geen andere aansluiting dan USB-A, tenzij je weet wat je doet!

Fysieke 2FA USB-connectoren op een rijtje, met USB-A links

Normaliter hoef je je 2FA-sleutel alleen te gebruiken als je voor de eerste keer op dat apparaat probeert in te loggen op je cloudaccount. Er bestaan clouddiensten waarbij je middels security policy kunt aangeven dat alle gebruikers hun fysieke 2FA-sleutel iedere XXX dagen moeten gebruiken om de cyber security te verhogen.

Biometrische 2FA

Ook biometrie kun je gebruiken voor 2FA. Denk bijvoorbeeld aan een oogscan (zoals bij Privium op Schiphol), vingerafdruk (Apple’s Touch ID) of Face ID. De beschikbaarheid en betrouwbaarheid van biometrische 2FA verschilt erg van leverancier tot leverancier. Niet alle vingerafdruksensoren zijn bijvoorbeeld even betrouwbaar. Sommige vroege versies van gezichtsherkenning kon je foppen door een foto van je gezicht (of dat van iemand anders) voor de camera te houden en: floep – je computer ontgrendelde zichzelf! Face ID van Apple heeft een dieptesensor om je hoofd in 3D in kaart te brengen. Niet alle camera’s beschikken over en dieptesensor en daarom zijn niet alle camera’s even geschikt voor biometrische 2FA. Bovendien: als je biometrische gegevens ooit gestolen/gekopieerd worden, dan kun je er niet meer op vertrouwen. Een fysieke 2FA USB-sleutel kun je makkelijk vervangen, maar een ander hoofd of andere vingerafdruk wordt lastig.

Apple Touch ID

Conclusie

Goede beveiliging gaat nooit om een moment in de tijd (“hoera, vandaag zijn we 100% veilig!”), maar het gaat veel meer om een proces door de tijd heen. Veilig zijn gaat om het vermogen van een bedrijf om mee te veranderen met de risico’s van de tijd – het vermogen om jezelf aan te passen, net als in de natuur. Zolang de boeven blijven doorontwikkelen, moet ook jij mee veranderen om je spullen te beschermen. 2FA is slechts een druppel water in een oceaan van cyber security risico’s.

Contact

Punt & Partners automatisering B.V.
Witte Paal 343
1742 LE Schagen
KvK Alkmaar 37087197
BTW-nummer NL808704382B01
Telefoon: +31 (224) 216-806
E-mail: info@aut.pp.nl
 Google Maps

Tweets