Is tweestapsverificatie veilig of inmiddels achterhaald?
Als je op je Gmail-account wilt inloggen na de cookies te hebben gewist, dan dien je een code in te tikken die naar je telefoon is ge-sms't. Of misschien hoef je alleen op je toestel goed te keuren dat er ‘iemand’ wil inloggen op je account. Het valt allebei onder tweestapsverificatie, een beveiligingsmethode die we al jaren gebruiken. Is dat nog wel zo veilig?
Toen tweestapsverificatie werd geïntroduceerd was dit hét paradepaardje van securitybureaus. Je vulde je gebruikersnaam en wachtwoord in zoals altijd en kreeg daarna een smsje op je telefoon met een code om in te voeren. Zo was het duidelijk dat jij het was, in plaats van iemand die alleen je wachtwoord kon ontfutselen. Het is een methode die mede door de populariteit van mobiele telefoons enorm effectief is. Bijna iedereen heeft immers een smartphone in zijn bezit.
Tweefactorauthenticatie, zoals het ook wel wordt genoemd, is een geweldige combinatie van enerzijds iets wat je weet, met anderzijds iets willekeurigs dat op een toestel komt dat jouw eigendom is. Het is niet alleen voor jou een tweede stap. Dat is het ook voor hackers. En voor mensen die willen inbreken, of dat nu virtueel of fysiek is, geldt: hoe meer drempels, hoe eerder iemand opgeeft.
Alleen een wachtwoord invullen is niet zo veilig. Hoewel je het hackers nog best moeilijk maakt als je echt een ingewikkeld wachtwoord maakt (met allerlei tekens, lang, hoofdletters en kleine letters, cijfers en zonder bestaande woorden), dan nog kan een website waarop je dat wachtwoord invoert een beveiligingslek hebben waardoor hackers er simpelweg inzicht in krijgen. Mede daarvoor is tweestapsauthenticatie in het leven geroepen.
Als een hacker vanaf een andere plek op de wereld in jouw mailbox probeert te komen, dan krijg jij een mailtje met de locatie van die persoon. Dat ‘weet’ het systeem omdat het IP-adres anders is dan die je normaal gebruikt. Diegene kan dan wel in de tweede stap een smsje laten versturen, maar die zal dan aankomen op jouw telefoon.
2FA onderscheppen
Een goede extra stap, maar niet een waterdichte. Hackers kunnen het alsnog zwak maken, bijvoorbeeld doordat je hetzelfde wachtwoord gebruikt voor een emailadres waarop je de code krijgt toegestuurd (dat is niet altijd via de telefoon). Of hackers bouwen zelfs websites en proberen je via phishing zover te krijgen om die code in te vullen. Het griezelige hiervan is dat de hacker tegelijkertijd met jou aan de slag moet, want zo’n code is maar even geldig.
Een andere methode is om de code te gaan raden. Ze zijn immers vaak niet heel lang, waardoor je er een simpel scriptje voor kunt schrijven dat alle mogelijk combinaties uitprobeert. Gelukkig bieden veel websites daarom maar enkele keren de mogelijkheid om een code in te voeren. Een andere manier die hackers gebruiken, is om bijvoorbeeld met het wachtwoord dat ze wel van je weten in je Facebook-account in te loggen. Er zijn veel websites die Facebook als enige loginmethode gebruiken, vaak zelfs zonder tweestapsverificatie.
Nieuwe ontwikkelingen
Tweestapsverificatie gebruiken we al lang. Het is dan ook misschien niet meer de meest moderne methode om te beveiligen. Niet voor niets ontgrendel je je telefoon door slechts je gezicht te laten scannen of je vinger op het beeld te drukken. Wat je ‘weet’ en wat je ‘bezit’ beschreven we net, maar biometrische gegevens delen is wat je ‘bent’, een derde factor die enorm sterk is. Er zijn inmiddels snellere methodes, al missen die wel de tweede stap. Nu is het bij een telefoon ontgrendelen natuurlijk wel heel extreem om dan twee handelingen te moeten uitvoeren, maar eigenlijk zie je sowieso nooit dat je zowel biometrische gegevens gebruikt als een tweede stap met een code.
Tweestapsverificatie wordt dan ook vooral geassocieerd met het invullen van een wachtwoord, iets dat mensen sowieso vervelend vinden. De reden hiervoor is dat het voor de veiligheid niet goed is om overal hetzelfde wachtwoord te hebben, waardoor je inmiddels apps moet gebruiken om ze allemaal vast te leggen. Zeker als het goede, sterke wachtwoorden zijn. Echter werken zelfs grote bedrijven als Google en Facebook met wachtwoorden. De tweestapsverficatie begint hier wel naar een andere manier te schuiven.
Google Prompt
Zoals net beschreven heeft Google liever dat je de Google-app op je telefoon gebruikt om zo toegang te verschaffen, via de zogeheten Google prompt. Hierdoor hoeft er geen code meer te worden ingetoetst, maar moet je het toestel echt zelf in je hand hebben en een handeling doen. Zelfs als een hacker in iemands telefoon kan meekijken, dan kan hij of zij hierdoor niet verder. Sommige telefoons hebben meldingen aanstaan op het vergrendelde scherm, waardoor social hackers ook zonder toegang tot de telefoon een code kunnen zien. Ook hier is de methode die Google gebruikt veiliger.
Kortom, er is dus wel wat ontwikkeling gaande in de wereld van tweefactorauthenticatie waardoor het veiliger wordt dan wat het bij de introductie was. Echter kun je nog altijd op de meeste websites inloggen met slechts een gebruikersnaam en een wachtwoord, of alleen je Facebook-account. Dat is jammer. Want die extra authenticatie kost je misschien een paar seconden extra, terwijl dat het verschil maakt voor hackers of je een makkelijke prooi bent of een uitdaging die meer tijd - en dus geld - kost.