Waar je op moet letten bij tweefactorauthenticatie

Diefstal van logingegevens is de belangrijkste aanvalsvector voor hackers vandaag. Geef hackers geen kans dankzij 2FA of een variant erop.

Het overgrote merendeel van de aanvallen vandaag gebeurt via gecompromitteerde accountgegevens. Hackers komen via phishing te weten wat de login en het wachtwoord van een werknemer is en verschaffen zich via die weg toegang tot gevoelige gegevens. De vector is hoogst succesvol omdat het voor de meeste accounts volstaat om een juiste combinatie van accountnaam en wachtwoord in te geven om toegang te krijgen.

2FA

Tweefactorauthenticatie (2FA) lost dat probleem op. Volgens Microsoft zelf zorgt de implementatie ervan op bedrijfsniveau ervoor dat 99,99 procent van de aanvallen via wachtwoorddiefstal geblokkeerd wordt. 2FA combineert iets dat je weet (het wachtwoord) met iets dat je hebt (doorgaans je telefoon). Toepassingen zoals de Microsoft Authenticator of de Google Authenticator winnen hier aan belang. Dat zijn apps die op je telefoon draaien en tijdelijke wachtwoorden genereren. Zonder telefoon en authenticator kan je als gebruiker niet vanop een nieuw toestel inloggen op je account.

De oplossing brengt zijn eigen problemen met zich mee. Wat als je de toegang tot je telefoon verliest? Dat kan dramatisch zijn wanneer je bijvoorbeeld in het buitenland vertoeft. Een loginpoging op een website vanop een buitenlands IP-adres moet in principe 2FA triggeren. Wie net dan zijn telefoon kwijt is, is plots afgesloten van alle belangrijke accounts.

Wat als je de toegang tot je telefoon verliest?

Kies je een 2FA-oplossing, dan spelen er een handvol factoren. We kijken in dit stuk naar enkele veelvoorkomende opties die je als gebruiker over een grote variatie van websites kan inzetten. De beveiligingstool moet uiteraard veilig genoeg zijn. Vervolgens speelt gebruiksvriendelijkheid een rol: niemand wil vijf minuten verliezen aan inlogplezier bij de start van een nieuwe sessie. Tot slot is een veilige back-up-optie belangrijk. Verlies je toegang tot de authenticator, dan wil je idealiter een herstelprocedure starten. Die mag echter niet zo eenvoudig zijn dat hackers ze kunnen misbruiken om 2FA te omzeilen.

Microsofts inzending

De eerste toepassing die we onder de loep nemen, is de Microsoft Authenticator. België is een Office-land en de tool heeft als voordeel naadloos te passen in de softwareomgeving van Microsoft. De Authenticator kan een wachtwoord volledig vervangen, maar voor absolute veiligheid is het interessanter om 2FA te activeren: combineer dus het ouderwetse wachtwoord met de app.

Naast Microsoft-websites ondersteunt de tool alle sites die overweg kunnen met zogenaamde time-based-one-time-passwords (TOTP). TOTP gebruikt een combinatie van een unieke seedwaarde en de tijd om willekeurige wachtwoorden te genereren die telkens maar voor een korte tijd (bijvoorbeeld 30 seconden) geldig zijn. De seedwaarde is doorgaans gekoppeld aan een app en een toestel, wat voor een extra beveiligingslaag zorgt. Hoe de seed zelf gegenereerd wordt, hangt af van de gebruikte toepassing en heeft invloed op de veiligheid.

Lees ook: Het einde van het wachtwoord volgens Microsoft

De TOTP-standaard maakt het mogelijk om allerhande websites een extra beveiligingslaag te geven met de Authenticator. Dat is veiliger maar maakt de problemen des te groter wanneer je de toegang tot de app verliest.

Back-up en herstel

Gelukkig heeft de Authenticator een ingebouwde back-up-functie. Die is noodzakelijkerwijs gekoppeld aan een persoonlijk Microsoft-account, dat je op zijn beurt kan beveiligen via SMS. SMS-2FA is niet de veiligste methode, al moeten hackers het al erg specifiek op jou gemunt hebben om die beveiliging te omzeilen.

De Microsoft Authenticator in combinatie met een actieve back-up langs een persoonlijk account is zo een veilige maar toch gebruiksvriendelijke optie om al je accounts een extra verdedigingslaag te geven. Raak je een toestel kwijt, dan kan je met een nieuwe telefoon de back-up herstellen en opnieuw inloggen op al je websites. Wie zijn telefoonnummer mee verliest, kan in principe via een laptop nog aan de mailbox van het persoonlijk account om aan de verificatiecode te raken die het back-up-herstel vereist.

De versie van Google

Google heeft een gelijkaardige toepassing getiteld ‘Google Authenticator’. Op je mobiele toestel noemen beide apps zich gewoon Authenticator, voor optimale verwarring. Die van Google lijkt qua functionaliteit sterk op het exemplaar van Microsoft. Googles authenticator zit beter ingebakken in het Google-ecosysteem maar G Suite is in ons land een stuk minder populair dan Microsoft 365, wat dat voordeel vanuit een zakelijk standpunt minder relevant maakt.

De authenticator van Google lijkt qua functionaliteit sterk op die van Microsoft.

De kans dat Google je al richting de Google Authenticator duwde, is reëel. De toepassing heeft echter geen degelijke back-up-optie. Gebruik je de app en je telefoon om het gros van je accounts te beveiligen, dan zit je in de problemen wanneer je je toestel verliest. Google voorziet wel een tool om via een qr-code de account over te zetten naar een nieuw toestel, maar dat helpt je enkel bij een geplande migratie. Wat gebruiksvriendelijkheid betreft staat Google op hetzelfde niveau als Microsoft, tot op het moment dat je de toegang tot de authenticator verliest. Je kan argumenteren dat die aanpak veiliger is, maar wij zien het vooral als een minpunt.

Externe tools

Je kan ook voor externe tools kiezen, zoals Authy of Duo. Dat zijn twee erg veilige 2FA-toepassingen die desalniettemin accountherstel voorzien wanneer je een toestel kwijtspeelt. Authy maakt gebruik van een herstelwachtwoord gekoppeld aan een telefoonnummer. Dat wachtwoord dient als seed voor het achterliggende beveiligingsalgoritme en wordt nergens opgeslagen. Zonder wachtwoord is er geen herstel mogelijk. Met kan het wel, zolang je je telefoonnummer nog kan gebruiken. Is ook dat geen optie, dan loopt het proces via de klantendienst van Authy en kan het zijn dat je je identiteit moet bewijzen. De herstelprocedure is zo omslachtiger maar ook veiliger. Wie vreest potentieel persoonlijk geviseerd te worden door hackers, is met deze oplossing beter af van die van Microsoft.

Lees ook: Google maakt het eenvoudiger om 2FA-sleutel toe te voegen

Duo is ongeveer even veilig, maar slaat de versleutelde versie van de seed achter de authenticatie in de clouds van Apple of Google op. Dat betekent dat Google-werknemers in theorie aan de data kunnen, eventueel op vraag van de overheid. Opnieuw geldt die bedenking vooral voor niche-beroepen waar persoonlijke aanvallen mogelijk zijn, of James Bond-slechteriken.

Afweging

LastPass verdient als populaire wachtwoordmanager ook een vermelding. De dienst evenaart de hierboven beschreven functionaliteit met één belangrijk minpunt. Het hoofdwachtwoord waarmee je de seed voor de beveiliging genereert, is hetzelfde wachtwoord dat de digitale wachtwoordkluis beschermt. Dat betekent dat je het als gebruiker geregeld dient in te geven. Een beveiligingsprobleem bij LastPass kan zo grotere gevolgen hebben dan nodig. Het ware beter geweest als LastPass twee verschillende wachtwoorden had voorzien.

Er zijn heel wat andere opties om je bedrijfsomgeving robuuster te maken. Denk aan tools van beveiligingsspecialisten, of speciale USB-sleutels. Bij de keuze dien je niet alleen af te vragen hoe de tool op z’n best werkt, maar ook wat er gebeurt wanneer iemand een aspect voor de authenticatie verliest. Een veilige maar werkbare herstelprocedure is essentieel. Het gebrek daaraan, zoals bijvoorbeeld bij Google het geval is, zal mensen twee keer doen nadenken voor ze 2FA activeren na een slechte ervaring. En laat nu dat nu net de oorzaak zijn van tal van hacks.