Niet alle 'tweestapsverificatie' methodes zijn veilig

Gepubliceerd op 18 november 2020 om 08:00
Niet alle 'tweestapsverificatie' methodes zijn veilig

'Tweestapsverificatie' of multifactorauthenticatie (MFA) is iets wat me moeten omarmen om onze data en privacy te waarborgen. Met gebruik ervan is niet zonder gevaren. Sommige varianten van MFA zijn veiliger dan andere. Zo is het onverstandig om sms- en gesproken berichten als authenticatie middel te gebruiken, omdat deze via social engineering onderschept kunnen worden door anderen.

Twitter Trump

Onlangs slaagde Victor Gevers, een ethische hacker uit Nederland, erin om de Twitter-account van president Trump over te nemen. Na een aantal pogingen wist hij het wachtwoord van de Amerikaanse president te raden: maga2020! (Make America Great Again). Eenmaal ingelogd kon hij, in naam van de president, berichten plaatsen op het platform, maar ook persoonlijke berichten (DM’s) lezen.

Tweestapsverificatie een must

Het voorbeeld toont aan dat het belangrijk is om je online accounts te beveiligen met multifactorauthenticatie (MFA) of tweestapsverificatie. Naast een gebruikersnaam en wachtwoord heb je ook een speciale code nodig om toegang te krijgen tot een account. Anders gezegd, om je account te kraken moeten hackers niet alleen beschikken over iets dat je weet (wachtwoord), maar ook over iets dat je hebt (toegangscode). MFA is dus een extra beveiligingslaag boven op de traditionele beveiliging.

Security deskundigen zijn het onderling eens dat MFA het aantal cyberaanvallen en -incidenten sterk kan reduceren. De meeste mensen vinden het echter te veel moeite of lastig om hun accounts te voorzien van tweestapsverificatie. Maar het is wel de moeite waard. Weinert stelt dat bij minder dan 0,1 procent van alle gebruikers die MFA hebben ingeschakeld de online accounts zijn gecompromitteerd door hackers.

Geen SMS of gesproken bericht

Tegelijkertijd waarschuwt de beveiligingsdeskundige bij Microsoft dat we geen sms- en gesproken berichten als MFA-methode moeten gebruiken. De vraag is niet of we tweestapsverificatie moeten gebruiken, maar 'welke methode' van tweestapsverificatie. Sms- en gesproken berichten zijn beveiligingsmechanismen die gebaseerd zijn op Publicy Switched Telephone Networks (PSTN), de minst veilige opties als het gaat om MFA aldus Weinert.

“Sms-berichten en voice protocols zijn ontworpen zonder veiligheid of encryptie in het achterhoofd”, zo zegt Weinert. Deze beveiligingsformats zijn volgens hem niet flexibel om nieuwe beveiligingstechnieken en innovatie op toe te passen. Daardoor is het voor kwaadwillende mogelijk om deze communicatie te onderscheppen. Het is in de woorden van Weinert een “substantiële en unieke kwetsbaarheid” in het PSTN-systeem.

Sms- en gesproken berichten zijn volgens de beveiligingsspecialist via social engineering eenvoudig te achterhalen. Als voorbeeld noemt hij phishing en SIM Jacking, ook wel SIM Swapping genoemd. Daarbij belt een oplichter op naar een telecombedrijf om te vragen of het telefoonnummer van zijn slachtoffer op een andere simkaart geactiveerd kan worden. Medewerkers van de klantenservice geven te gemakkelijk gehoor aan dit verzoek, of zijn vatbaar voor de charmes van de beller, omkoping, chantage of afpersing.

Wat is wel veilig?

“Sms en voice formats beperken ons om de context te leveren waarvoor authenticatie vereist is”, zo concludeert Weinert. Wat zijn dan wel veilige en verantwoorde MFA-beveiligingsmechanismen om te gebruiken? Daar heeft hij uiteraard op. Allereerst noemt hij 'Windows Hello'. Dat is software die Microsoft aan de webcam van laptops heeft toegevoegd waarmee een gebruikersaccount wordt afgeschermd met een gezichtsprofiel. Alleen geautoriseerde personen hebben dan toegang tot het bedrijfsnetwerk en bedrijfsmiddelen. Ook garandeert het de vertrouwelijkheid of exclusiviteit van gebruikers.

Een andere methode is FIDO, wat staat voor 'Fast Identity Online'. Deze techniek is de opvolger van traditionele One-Time Passcodes (OTP) en is gebaseerd op public key encryption, waardoor inlogcodes niet langer via onveilige netwerken verzonden hoeven te worden. Hiermee log je altijd en overal veilig in op je online accounts. De Security Keys van 'Yubico' zijn bekende en geliefde producten onder beveiligingsspecialisten en -kenners.

Tot slot noemt Weinert 'Microsoft Authenticator'. Dit is een applicatie die inlogcodes aanmaakt voor als je probeert in te loggen bij bijvoorbeeld Microsoft OneDrive of Twitter. Deze codes veranderen voortdurend, waardoor het voor hackers onmogelijk is om je account te gijzelen. 'Authenticator-apps' maken gebruik van encryptie om te communiceren met gebruikers.

Zo heb je ook de 'Authenticator' van LastPass. 

Bron: lastpass.com, microsoft.com, vpngids.nl | Anton Mous