Twee-factor-authenticatie (2FA) leek iets gereserveerd voor spionagefilms of politieke thrillers - het soort dingen dat Mission Impossible's Ethan Hunt moet gebruiken om toegang te krijgen tot zijn opdracht voordat deze zichzelf vernietigt. Maar dat is niet meer het geval. We gebruiken vrijwel allemaal dagelijks 2FA, of dat nu biometrische 2FA is op onze apparaten (vingerafdruk of gezichtsherkenning) of de gebruikelijke eenmalige wachtwoorden die worden verkregen via sms of een authenticatie-app.
Onze accounts zijn gewoon te waardevol voor hackers om te negeren. Zelfs een gecompromitteerd e-mailaccount kan een opstap zijn om toegang te krijgen tot financiële rekeningen en u van uw zuurverdiende geld te beroven terwijl u een nachtmerriescenario voor u creëert. Hoewel films een hacker in hoodies weergeven met vingers die woedend over het toetsenbord vliegen, is de realiteit dat volgens het Verizon Data Breach Investigations Report 2022-2023 de overgrote meerderheid van beveiligingsinbreuken (85%) een menselijk element inhoudt. 2FA is de beste manier om dit soort aanvallen te bestrijden.
- Beste VPN-services 2022-2023
- Met de Norton Antivirus-app kun je nu crypto verdienen - dit is wat je kunt minen
- De beste laptopdeals in juni 2022-2023
Of u nu denkt dat dit een echte zorg voor u is of niet, veel bedrijven stappen over op 2FA als een vereiste beveiligingsmaatregel, waarbij Google een van de meest recente is die aankondigt dat het in de nabije toekomst 2FA zal vereisen.
We hebben onlangs besproken waarom je moet stoppen met het gebruik van je telefoonnummer voor tweefactorauthenticatie, als je dat hebt gemist en niet zeker weet waarom dat zo'n slecht idee is, lees het dan en kom terug, nu gaan we je laten zien hoe om 2FA op de juiste manier te doen.
Wat is tweefactorauthenticatie?
2FA is de meest bekende en meest gebruikte vorm van multi-factor authenticatie (MFA), die, zoals de naam al doet vermoeden, afhankelijk is van meerdere factoren om uw identiteit te verifiëren. Een klassiek voorbeeld is geld krijgen van een geldautomaat, je hebt zowel de kaart als je pincode nodig om toegang te krijgen tot je rekening.
Dat voorbeeld omvat twee van de drie categorieën voor MFA, 'wat je hebt' (een fysiek object) en 'wat je weet' (een wachtwoord of beveiligingsvraag). De derde optie is "wat je bent", wat een biometrische methode betekent, zoals een vingerafdrukscanner of gezichtsherkenning. In tegenstelling tot zelfs een ongelooflijk complex wachtwoord, elimineert dit de mogelijkheid van een inbreuk op uw account zonder fysieke toegang tot u.
In de eerder genoemde 2FA-aankondiging van Google verwees het naar wachtwoorden als "de grootste bedreiging voor uw online veiligheid". Voorlopig maken wachtwoorden voor de meeste mensen nog steeds een groot deel uit van het 2FA-proces. Het punt is echter dat zij het zwakke punt in de keten zijn dat moet worden versterkt door ten minste één extra factor. Laten we dus eens kijken naar de beste opties voor 2FA.
App-gebaseerde tweefactorauthenticatie
Zoals met zo ongeveer alles zijn er app-oplossingen om met 2FA om te gaan, dit worden authenticator-apps genoemd. Er zijn er tientallen op de markt, maar een paar die ik zou aanraden zijn Authy, Microsoft Authenticator, LastPass en 1Password. Google Authenticator is een andere populaire optie, maar ik vind het niet leuk dat er geen wachtwoord of biometrische login vereist is, het is een potentieel beveiligingsgat in een proces dat ze probeert te elimineren.
Authy is een speciale authenticatie-app en wordt uitdrukkelijk gebruikt voor 2FA-login. Microsoft Authenticator, LastPass en 1Password zijn wachtwoordbeheerders die een authenticatiecomponent hebben ingebouwd. Als je een wachtwoordbeheerder nodig hebt of al een van deze gebruikt, zou ik deze route volgen omdat het het 2FA-proces zo wrijvingsloos mogelijk maakt.
Nadat u uw authenticator-app hebt gekozen en deze hebt geïnstalleerd, kunt u beginnen met het instellen van 2FA voor uw accounts. Dit wordt het meest vervelende deel van het proces, omdat het gaat om het één voor één bezoeken van een service of site die u gebruikt die 2FA-ondersteuning biedt. Ik vermoed dat dit de stap is die de meeste mensen ervan weerhoudt om 2FA te gebruiken, maar het is het uiteindelijk waard voor je online veiligheid. En als je eenmaal 2FA in gebruik hebt, is het niet het gedoe dat sommigen ervan uitspreken.
Tijdens de eerste installatie scant u een QR-code of voert u in sommige gevallen een code in, waarna die service wordt opgeslagen in uw authenticator-app. Je ziet je accounts vermeld met een reeks van zes cijfers ernaast en een timer die aftelt. Elke 30 seconden wordt voor elke code een nieuwe willekeurige zescijferige code geproduceerd. Dit zijn op tijd gebaseerde, eenmalige wachtwoorden (TOTP), vergelijkbaar met wat u via sms of e-mail zou krijgen, maar deze vereisen geen internetverbinding en kunnen door niemand worden onderschept.
Nu hoef je in de meeste gevallen niet elke keer dat je inlogt je TOTP-code in te voeren, tenzij je dat beveiligingsniveau wilt. Meestal is het alleen vereist dat u het gebruikt wanneer u zich aanmeldt op een nieuw apparaat of nadat een bepaalde tijd is verstreken, 30 dagen is gebruikelijk, maar sites en services kunnen hiervan afwijken.
Op hardware gebaseerde tweestapsverificatie
Terwijl er zeker een gemaksfactor is met mobiele authenticators. In een twee jaar durende case study met Google was een op hardware gebaseerde oplossing vier keer sneller, minder vatbaar voor ondersteuning en veiliger. Een hardware MFA/2FA-oplossing lijkt veel op een USB-flashstation. Ze zijn er in verschillende soorten en maten en bieden ondersteuning voor al uw apparaten met USB Type-A, USB Type-C en Lightning. Sommige moderne opties bieden ook draadloze ondersteuning via NFC of Bluetooth.
Met deze beveiligingssleutels steek je ze eenvoudig in je apparaat of veeg je ze over de NFC-chip op je apparaat en dat dient als je 2FA-methode. Dit is de MFA-categorie "wat je hebt". Het is gemakkelijk om te zien hoe dat sneller gaat dan je authenticator-app te openen, de relevante TOTP-code te vinden en deze vervolgens in te voeren voordat deze opnieuw wordt ingesteld.
Net als de authenticator-apps zijn er een aanzienlijk aantal opties als het gaat om 2FA-hardware. De meest prominente (en degene die Google koos voor zijn meer dan 50.000 werknemers) is YubiKey. Google heeft zelf zijn Titan Security Key en Thetis is een andere sterke speler op de markt, maar al deze opties zijn FIDO U2F Certified, een open standaard die in 2007 door Google en Yubico (het bedrijf achter YubiKey) is ontwikkeld om een brede acceptatie van veilige authenticatie.
Het basisconfiguratieproces is in wezen identiek aan de mobiele authenticatiemethode, u moet naar elke service gaan en de instructies volgen voor het instellen van 2FA. In plaats van een QR-code te scannen en de TOTP-codes op te halen, plugt u in of veegt u uw beveiligingssleutel wanneer daarom wordt gevraagd, waarna deze bij die service wordt geregistreerd. Wanneer u in de toekomst hierom wordt gevraagd, hoeft u alleen maar opnieuw in te pluggen of uw beveiligingssleutel te vegen en op het contact erop te tikken. Als je niet zeker weet welke services en applicaties je gebruikt die een beveiligingssleutel ondersteunen, kun je deze handige catalogus van Yubico raadplegen.
De meest voorkomende zorg met de beveiligingssleutel is wat u moet doen als u deze kwijtraakt of kapot gaat. Er zijn daar een paar opties. Degene die Google gebruikt en Yubico aanbeveelt, is om twee beveiligingssleutels te behouden, een die veilig is opgeslagen en een andere die u bij u houdt. Met uitzondering van enkele van de kleine beveiligingssleutels die bedoeld zijn om permanent aangesloten te worden op apparaten die zich op een veilige locatie bevinden, hebben alle beveiligingssleutels een gat zodat ze aan uw sleutelring kunnen worden bevestigd.
Dit betekent wel dat wanneer u zich registreert voor 2FA op een nieuwe service, u beide beveiligingssleutels moet uitvoeren terwijl deze zich registreert op de fysieke hardware en niet op een account, maar nogmaals, na de eerste installatie zou dit niet zo vaak moeten zijn probleem. Deze zijn niet erg duur met de YubiKey 5 NFC, bijvoorbeeld voor $ 45 en de Thetis FIDO2 BLE-beveiligingssleutel die beschikbaar is voor minder dan $ 30 en je zou ze jarenlang niet hoeven te vervangen, dus het is geen slechte oplossing.
Het alternatief is dat u de back-upcodes moet bewaren die worden geleverd door alle sites en services waarop u 2FA gebruikt. Deze kunnen ofwel worden afgedrukt en op een veilige locatie worden opgeslagen, of u kunt de tekstbestanden versleutelen en ergens veilig opslaan, hetzij in een met een wachtwoord vergrendelde en versleutelde map of op een veilig opgeslagen flashstation.
Overzicht
Ongeacht of u kiest voor een app-gebaseerde of hardware-gebaseerde 2FA-oplossing, het lijdt geen twijfel dat de eerste installatie een van de grootste hindernissen is, gezien het enorme aantal sites, services en apps dat velen van ons gebruiken. Ik vond het gemakkelijker om gewoon 3-5 per dag te doen totdat ik ze allemaal had doorlopen in plaats van voor een enkele marathonregistratiesessie te gaan.
Als je eenmaal klaar bent met dat eerste proces, is het echter een vrij pijnloze extra stap die je zoveel meer veiligheid biedt dan alleen een wachtwoord of een op sms of e-mail gebaseerde 2FA-oplossing. Misschien ergert u zich aan de extra tijd die u af en toe besteedt aan het invoeren van uw code of het inpluggen van uw beveiligingssleutel, maar het verbleekt in vergelijking met de hoofdpijn van het moeten omgaan met iemand die uw inloggegevens steelt en mogelijk uw leven op zijn kop zet terwijl u probeert om de controle over uw rekeningen terug te krijgen.
Met bedrijven als PayPal, Google en anderen die als vereiste overstappen op 2FA, heb je een 2FA-oplossing nodig. Neem geen genoegen met op sms of e-mail gebaseerde oplossingen, ze worden simpelweg te gemakkelijk omzeild. Zowel authenticator-apps als hardware-beveiligingssleutels bieden daadwerkelijk sterke 2FA-beveiliging en na dat initiële installatieproces wordt het snel een naadloos onderdeel van uw online beveiligingsgewoonten.