Is tweestapsauthenticatie het wondermiddel?
De toenemende interesse in tweestapsauthenticatie bij leveranciers van online diensten lijkt misschien de oplossing voor het beveiligen van logins, maar het is volgens enkele beveiligingsexperts maar een onderdeel van een groter project op lange termijn.
Vorige week maakte Evernote de beslissing om een optie voor tweestapsauthenticatie aan haar gebruikers aan te bieden, nadat het zich genoodzaakt zag om de wachtwoorden van haar 50 miljoen gebruikers te resetten na een aanval door hackers.
Diensten als Facebook, Google, Dropbox, Amazon, Microsoft, PayPal en Yahoo maken al langer gebruik van de tweestapsauthenticatie voor hun eindgebruikers.
[related_article id=”161920″]
Er bestaat geen twijfel over dat vormen van tweestapsauthenticatie de beveiliging van logins kunnen vergroten, maar zo’n getrapt systeem is geen universele oplossing.
“Het is een kleine overwinning, en het is over het algemeen goed dat de interesse er is,” zegt Gunnar Peterson, directeur bij Arctec Group. “De initiële authenticatie moet sterker worden, maar het is geen wondermiddel.”
Peterson wijst er op dat tweestapsauthenticatie niet nieuw is. De beveiligingstechniek wordt niet in twijfel genomen, maar in het verleden bleek dat gebruikers het vaak een last vinden om de extra stappen uit te voeren en van het systeem afstappen of het proberen omzeilen.
Verschillende leveranciers, zoals Evernote en Google, bieden tweestapsauthenticatie als een optie aan, geen verplichting. Ondanks al hun inspanningen wordt het vastschroeven van de beveiliging overgelaten aan de “zwakste schakel” in de keten, de eindgebruiker.
Toch is het volgens Peterson een positieve ontwikkeling dat dienstenleveranciers creatief aan de slag gaan met technieken zoals sms en smartphones, toestellen die gebruikers altijd bij de hand hebben en kunnen helpen bij tweestapsauthenticatie.
Jeff Stollman, directeur bij Secure Identity Computing, zegt dat de details rond tweestapsauthenticatie niet altijd duidelijk worden uitgelegd, en dat leidt tot slechte beslissingen.
“De invoering wordt vaak gepusht door regulatoren, maar hoe dat dan moet ingevuld worden, wordt niet gedefinieerd,” zegt Stollman.
In-band factoren, zoals het beantwoorden van een geheime vraag, zijn erg zwak, aangezien ze gevoelig zijn voor man-in-the-middle aanvallen. Bovendien zijn de antwoorden vaak heel eenvoudig te achterhalen via sociale media.
“Tweestapsauthenticatie moet out-of-band zijn, via een token of een mobiel toestel,” zegt Stollman. “Als authenticatie een één is op een beveiligingsschaal van één tot tien, dan kan out-of-band tweestapsauthenticatie dat verhogen tot een drie of vier.”
Met deze methodes wordt de gebruiker een code toegestuurd om zich te kunnen inloggen of ze verkrijgen een token, een stukje data dat bewijst wie ze zijn, dat getoond wordt om de authenticatie te voltooien.
Mobiele toestellen zijn natuurlijk een zegen én een vloek. Ze verzwakken out-of-band methodes, aangezien dat gebruikers op de diensten kunnen inloggen via hun telefoon, waardoor de tweede stap wat teniet wordt gedaan.
Tweestapsauthenticatie krijgt ook een duwtje in de rug doordat bedrijven hun infrastructuur niet dramatisch moeten aanpassen om de technologie toe te laten.
“Evernote kan de veranderingen doorvoeren zonder de hele site of de API’s te moeten hermaken,” aldus Peterson. “Het is een geïsoleerde verandering, die veel veiligheid biedt voor weinig inspanning, en dat is altijd positief.”
Maar er zijn nog andere factoren om mee rekening te houden, vooral in verband met infrastructuur voor dienstenleveranciers. Hoe accuraat is bijvoorbeeld hun initiële identificatie aan het front-end. En wat hebben ze in hun back-end aangepast om problemen met sessiebeheer, datalekken, SSL-implementatiefouten of foutieve authenticatiegegevens aan te pakken.
Peterson vergelijkt het met het installeren van een moderne nieuwe wasbak die je dan aan een afvoersysteem van 110 jaar oud hangt. “Ik zou het verkiezen als mensen de structurele en strategische problemen aanpakken,” zegt hij.
Hij haalt technieken aan die het gedrag van de gebruiker en fraude of aanvallen herkennen, en authenticatietools intelligenter kunnen maken. Ook GPS en geo-locatie kunnen helpen in het verbeteren van de authenticatie aan de kant van de gebruiker. Zelfs technieken als het schudden met je telefoon of spraakherkenning kunnen als identificatie gelden.
Tweestapsauthenticatie heeft nog niet bewezen dat het volledig resistent is voor menselijke fouten of manipulatie. Onderzoekers vonden bijvoorbeeld gaten in Googles systeem, gebaseerd op een aantal dingen die fout liepen in de back-end van hun diensten.
“Beveiliging werkt als volgt: we leggen de lat wat hoger, en hackers proberen er dan over te springen,” zegt Peterson. “Verhoogt tweestapsauthenticatie de lat? Een beetje, maar denk ik dat hackers er niet over zullen raken? Nee, ik denk dat ze daar uiteindelijk nog steeds in zullen slagen.”