Het is tijd om te stoppen met het gebruik van SMS- en 2FA-apps voor authenticatie met twee factoren
Tegenwoordig probeert elke website die je ooit bezoekt je aan te moedigen om twee-factor authenticatie (2FA) te gebruiken.
Een van de meest gebruikelijke manieren om 2FA te gebruiken, is door een unieke code in te voeren vanaf uw mobiele apparaat. Meestal ontvangt u de code in een SMS-bericht of gebruikt u een 2FA-app van derden om er een te genereren.
De twee methoden zijn beide populaire manieren om codes te gebruiken vanwege hun gemak. Beide methoden zijn echter ook zwak vanuit een beveiligingsstandpunt. En omdat uw 2FA-code alleen zo veilig is als de technologie die wordt gebruikt om deze te leveren, zijn de zwakke punten belangrijk.
Wat is er mis met het gebruik van SMS en apps van derden om toegang te krijgen tot uw codes? En is er een even gemakkelijk alternatief dat veiliger is? We gaan alles uitleggen. Blijf lezen voor meer informatie.
Hoe twee-factorenauthenticatie werkt
Laten we een moment nemen om te bespreken hoe verificatie met twee factoren werkt. Zonder de mechanica achter de technologie te begrijpen, zal de rest van dit artikel niet veel logisch zijn.
In algemene termen voegt 2FA een extra beveiligingslaag toe aan uw account. Ook bekend als multi-factor authenticatie, logingegevens bestaan niet alleen uit een wachtwoord, maar ook uit een tweede stuk informatie dat alleen de rechtmatige eigenaar van het account toegang heeft tot.
2FA wordt geleverd in veel verschillende vormen De voor- en nadelen van twee-factorauthenticatietypen en -methoden De voor- en nadelen van twee-factorauthenticatietypen en -methoden Twee-factor-authenticatiemethoden zijn niet hetzelfde. Sommige zijn aantoonbaar veiliger en veiliger. Hier volgt een overzicht van de meest gebruikte methoden en welke het beste aansluiten bij uw individuele behoeften. Lees verder . Op het meest basale niveau kan het iets eenvoudigs zijn als beveiligingsvragen (omdat niemand anders de meisjesnaam van uw moeder zou kunnen weten Waarom u antwoordt Wachtwoordbeveiliging Vragen waarom u niet antwoordt Wachtwoordbeveiliging Vragen verkeerd Hoe antwoordt u online vragen over accountbeveiliging? Eerlijke antwoorden? Helaas kan uw eerlijkheid een scheur in uw online pantsering veroorzaken. Laten we eens kijken hoe u veilig beveiligingsvragen kunt beantwoorden. Meer lezen of uw favoriete huisdier. Aan het meer gecompliceerde einde kan het een biometrische ID zijn, zoals een netvlies-scan of een vingerafdruk.
Waarom u SMS-verificatie moet vermijden
SMS geniet een positie als de meest toegankelijke manier om toegang te krijgen tot 2FA-codes en deze te gebruiken. Als een site verificatielogins met twee factoren biedt, biedt deze vrijwel zeker SMS als een van de opties.
Maar sms is geen veilige manier om 2FA te gebruiken. Het heeft twee belangrijke kwetsbaarheden.
Ten eerste is de technologie dat wel vatbaar voor SIM Swap-aanvallen. Het kost een hacker niet veel om een simswisseling uit te voeren. Als ze toegang hebben tot een ander persoonlijk stuk informatie, zoals uw burgerservicenummer, kunnen ze uw provider bellen en uw nummer verplaatsen naar een nieuwe simkaart.
Ten tweede kunnen hackers onderschep SMS-berichten. Het komt allemaal terug op het huidige routeringsysteem nr. 7 (SS7) van het signaleringssysteem. De methodologie is al in 1975 ontworpen, maar wordt nog steeds bijna wereldwijd gebruikt om gesprekken aan te gaan en te verbreken. Het behandelt ook nummervertalingen, prepaid-facturering en cruciaal, sms-berichten.
Het is niet verwonderlijk dat deze technologie uit 1975 vol gaten zit in de beveiliging. Dit is hoe beveiligingsexpert Bruce Schneier de fouten heeft beschreven:
“Als de aanvallers toegang hebben tot een SS7-portaal, kunnen ze uw gesprekken doorsturen naar een online opnameapparaat en het gesprek omleiden naar de beoogde bestemming [...] Het betekent dat een goed uitgeruste crimineel uw verificatieberichten kan pakken en deze kan gebruiken voordat u zelfs gezien.”
Natuurlijk, ontdekken dat een cybercrimineel je Facebook heeft gehackt. How To Find Out Als je Facebook-account is gehackt Hoe kom je erachter of je Facebook-account is gehackt Gegeven hoeveel gegevens we aan onze profielen hebben toegevoegd, is het belangrijker dan ooit om ervoor te zorgen dat je op de hoogte blijft van de privacy-instellingen van Facebook. Meer lezen-account is verre van ideaal. Maar de situatie is enger als je kijkt naar andere toepassingen van 2FA. Een cybercrimineel kan codes stelen die u in uw online bankieren gebruikt, of zelfs geldtransfers uitvoeren en voltooien 6 Apps om u te helpen geld over te maken tussen vrienden 6 Apps om u te helpen geld tussen vrienden over te maken Soms moet u snel en veilig geld naar vrienden sturen . Hier zijn zes van de beste beschikbare opties. Lees verder .
Verder beweert Schneier ook dat iedereen voor ongeveer $ 1.000 toegang tot het SS7-netwerk kan kopen. Zodra ze toegang hebben, kunnen ze een routeringsverzoek verzenden. Om het probleem te verhelpen, is het mogelijk dat het netwerk de bron van het verzoek niet verifieert.
Vergeet niet dat het gebruik van tweefactorauthenticatie via sms beter is dan 2FA uitgeschakeld te laten. En het is waarschijnlijk onwaarschijnlijk dat u een slachtoffer zult worden. Als je echter een beetje bezorgd begint te worden, moet je blijven lezen. Veel mensen accepteren dat sms onveilig is en wenden zich in plaats daarvan tot apps van derden.
Maar dat is misschien niet veel beter.
Waarom u 2FA-apps moet vermijden
De andere gebruikelijke manier om 2FA-codes te gebruiken is om een speciale smartphone-app te installeren. Er zijn veel om uit te kiezen. Google Authenticator is misschien wel het meest herkenbaar, maar het is niet noodzakelijk het beste. Er zijn veel alternatieven beschikbaar: bekijk Authy, Authenticator Plus en Duo.
Maar hoe veilig zijn specialistische 2FA-apps? Hun grootste zwakheid is hun vertrouwen op een geheime sleutel.
Laten we even een stapje terug doen. Als u zich niet bewust bent, moet u een geheime sleutel invoeren wanneer u zich voor de eerste keer aanmeldt voor veel van de apps. Het geheim wordt gedeeld tussen u en de provider van de app.
Wanneer u een site opent, is de code die de app maakt gebaseerd op een combinatie van uw sleutel en de huidige tijd. Op hetzelfde moment genereert de server een code met dezelfde informatie. De twee codes moeten overeenkomen om toegang te verlenen. Klinkt verstandig.
Dus waarom zijn sleutels het zwakke punt? Welnu, wat gebeurt er als een cybercrimineel toegang krijgt tot de wachtwoord- en geheimendatabase van een bedrijf? Elke account is kwetsbaar - de aanvaller kan komen en gaan Hoe te controleren of iemand anders toegang heeft tot uw Facebook-account Hoe te controleren of iemand anders toegang heeft tot uw Facebook-account Het is zowel sinister als zorgwekkend als iemand toegang heeft tot uw Facebook-account zonder uw kennis. Zo kun je weten of je bent geschonden. Meer lezen op wil.
Ten tweede wordt het geheim weergegeven in gewone tekst of als een QR-code; het kan niet gehashed of gebruikt worden met een zout. Wat deze MD5 Hash Stuff feitelijk betekent [Technologie verklaard] Wat al deze MD5 Hash Stuff eigenlijk betekent [Technologie verklaard] Hier is een volledige run van MD5, hashen en een klein overzicht van computers en cryptografie. Lees verder . Het staat waarschijnlijk ook in platte tekst op de servers van het bedrijf.
De geheime sleutel is de fundamentele fout in het tijdgebaseerde eenmalige wachtwoord (TOTP) dat gespecialiseerde apps gebruiken. Daarom is een fysieke U2F-sleutel altijd een veiligere optie.
Gebreken in ontwerp en beveiliging voor 2FA-apps
Natuurlijk is de kans dat een cybercrimineel de databases van een externe app hacken redelijk klein. Maar uw app kan ook last hebben van elementaire beveiligingsfouten in het ontwerp.
Populair wachtwoordbeheer LastPass 8 Eenvoudige manieren om uw LastPass-beveiliging op te laden 8 Eenvoudige manieren om uw LastPass-beveiliging op te laden U zou LastPass kunnen gebruiken om uw vele online wachtwoorden te beheren, maar gebruikt u dit goed? Hier zijn acht stappen die u kunt nemen om uw LastPass-account nog veiliger te maken. Read More werd in december 2017 het slachtoffer. Een blogbericht van een programmeur op Medium onthulde 2FA geheime sleutels kon worden geopend zonder een vingerafdruk, wachtwoord of andere veiligheidsmaatregelen.
De oplossing was niet eens ingewikkeld. Door toegang te krijgen tot de instellingenactiviteit van de LastPass Authenticator (com.lastpass.authenticator.activities.SettingsActivity), zou men het instellingenpaneel voor de app kunnen betreden zonder enige controle. Vanaf daar kunt u op drukken Terug eenmaal om toegang te krijgen tot alle 2FA-codes.
LastPass heeft nu de fout opgelost, maar er blijven vragen. Volgens de programmeur had hij geprobeerd LastPass over de kwestie te vertellen gedurende zeven maanden, maar het bedrijf heeft het nooit opgelost. Hoeveel andere 2FA-apps van derden zijn onveilig? En hoeveel niet-vastgezette kwetsbaarheden weten de ontwikkelaars maar het patchen vertragen? Er zijn ook zorgen als het gaat om het verliezen van toegang tot uw codegenerator op Facebook. Inloggen op Facebook Als u de toegang tot de codegenerator hebt verloren Hoe u zich op Facebook kunt aanmelden als u de toegang tot de codegenerator hebt verloren Wat als u niet op Facebook kunt inloggen op uw nieuwe computer omdat u geen toegang hebt tot de codegenerator op uw telefoon? Lees meer bijvoorbeeld.
Wat te doen in plaats daarvan: Gebruik U2F-sleutels
In plaats van te vertrouwen op SMS en 2FA voor uw codes, moet u Universal 2nd Factor-sleutels gebruiken Wat zijn U2F-sleutels en waar worden ze ondersteund? Wat zijn U2F-sleutels en waar worden ze ondersteund? U2F-sleutels zijn een van de beste manieren om uw accounts veilig en beveiligd te houden. Maar waar worden U2F-sleutels ondersteund? Meer lezen (U2F). Ze zijn de veiligste manier om codes te genereren en toegang tot uw services te krijgen.
Algemeen beschouwd als een versie van 2FA van de tweede generatie, vereenvoudigt en versterkt het het huidige protocol. Bovendien is het gebruik van U2F-sleutels bijna net zo handig als het openen van een SMS-bericht of een app van derden.
U2F-sleutels gebruiken een NFC- of USB-verbinding. Wanneer u uw apparaat voor de eerste keer op een account aansluit, genereert het een willekeurig nummer met de naam a “nonce.” De Nonce hashed met de domeinnaam van de site om een unieke code te maken.
Daarna kunt u uw U2F-sleutel implementeren door deze op uw apparaat aan te sluiten en te wachten tot de service deze herkent.
Dus wat is het nadeel? Hoewel U2F een open standaard is, kost het nog steeds geld om een fysieke U2F-sleutel te kopen. En misschien meer over, bent u in gevaar door diefstal.
Een gestolen U2F-sleutel maakt je account niet automatisch onzeker; een hacker moet nog steeds uw wachtwoord weten. Maar in een openbare ruimte heeft een dief je misschien al lang je wachtwoord kunnen zien invoeren voordat je je bezittingen steelt.
U2F-sleutels kunnen prijzig zijn
Prijzen variëren aanzienlijk tussen fabrikanten, maar u kunt verwachten te betalen tussen ongeveer $ 15 en $ 50.
In het ideale geval wilt u een model kopen dat dat is “FIDO-gecertificeerd.” De FIDO (Fast IDentity Online) Alliance is verantwoordelijk voor het bereiken van interoperabiliteit tussen authenticatietechnologieën. Leden omvatten iedereen van Google en Microsoft, tot Bank of America en MasterCard.
Door een FIDO-apparaat te kopen, kunt u er zeker van zijn dat de U2F-sleutel werkt met alle services die u dagelijks gebruikt. Bekijk de DIGIPASS SecureClick U2F-sleutel als je er een wilt kopen.
Digipass SecureClick FIDO U2F beveiligingssleutel Digipass SecureClick FIDO U2F beveiligingssleutel Nu kopen bij Amazon
Onzekere 2FA is nog steeds beter dan nr. 2FA
Samenvattend, Universal 2nd Factor-toetsen bieden een gelukkig medium tussen gebruiksgemak en veiligheid. SMS is de minst veilige aanpak, maar het is ook het handigst.
En vergeet niet dat elke 2FA beter is dan geen 2FA. Ja, het kan een extra 10 seconden duren om in te loggen bij bepaalde apps, maar het is beter dan je beveiliging op te offeren.
Ontdek meer over: Online beveiliging, twee-factorenauthenticatie.