Business
Trending
De beste e-bikes Telenet verhoogt prijzen Windows 10-account Goedkoper laden bij Tesla Windows 12 naar 2025 TechPulse op WhatsApp
  1. Home
  3. Nieuws
  5. Authenticatie in twee stappen: goed idee?
Nieuws
Redactie TechPulse

Authenticatie in twee stappen: goed idee?

Beveiligingsexperts loven de hernieuwde interesse in tweetrapsauthenticatie bij het inloggen op diensten, maar zeggen dat er nog verbeteringen noodzakelijk zijn.

Gebruikers durven al eens laks zijn met hun wachtwoorden, dus zijn bedrijven altijd op zoek naar een betere beveiliging. De toenemende interesse in tweetrapsauthenticatie bij leveranciers van online diensten is daar een voorbeeld van, en de technologie lijkt misschien de oplossing voor het beveiligen van logins. Volgens enkele beveiligingsexperts is het echter maar een onderdeel van een groter project op lange termijn.

Vorige week maakte Evernote de beslissing om een optie voor tweetrapsauthenticatie aan haar gebruikers aan te bieden, nadat het zich genoodzaakt zag om de wachtwoorden van haar 50 miljoen gebruikers te resetten na een aanval door hackers.

Diensten als Facebook, Google, Dropbox, Amazon, Microsoft, PayPal en Yahoo maken al langer gebruik van de tweetrapsauthenticatie voor hun eindgebruikers. Daarbij moet je, naast je gewone wachtwoord, nog een code invoeren die naar je telefoon wordt gestuurd. Die authenticatie wordt vooral gebruikt wanneer je je paswoord vergeten bent, en het is de reden waarom zoveel van die diensten je gsm-nummer vragen. In de meeste gevallen is het optioneel.

Zo"n tweetrapsauthenticatie maakt de beveiliging van logins alvast wat sterker, maar zo’n getrapt systeem is geen universele oplossing.

“Het is een kleine overwinning, en het is over het algemeen goed dat de interesse er is,” zegt Gunnar Peterson, directeur bij Arctec Group. “De initiële authenticatie moet sterker worden, maar het is geen wondermiddel.”

Peterson wijst er op dat tweetrapsauthenticatie niet nieuw is. De beveiligingstechniek wordt niet in twijfel genomen, maar in het verleden bleek dat gebruikers het vaak lastig vinden om de extra stappen uit te voeren en van het systeem afstappen of het proberen te omzeilen.

Verschillende leveranciers, zoals Evernote en Google, bieden tweetrapsauthenticatie als een optie aan, geen verplichting. Ondanks al hun inspanningen wordt het vastschroeven van de beveiliging overgelaten aan de “zwakste schakel” in de keten, de eindgebruiker.

Toch is het volgens Peterson een positieve ontwikkeling dat dienstenleveranciers creatief aan de slag gaan met technieken zoals sms en smartphones, toestellen die gebruikers altijd bij de hand hebben en kunnen helpen bij tweestapsauthenticatie.

Jeff Stollman, directeur bij Secure Identity Computing, zegt dat de details rond tweetrapsauthenticatie niet altijd duidelijk worden uitgelegd, en dat leidt tot slechte beslissingen.

“De invoering wordt vaak gepusht door regulatoren, maar hoe dat dan moet ingevuld worden, wordt niet gedefinieerd,” zegt Stollman.

In-band factoren, zoals het beantwoorden van een geheime vraag, zijn erg zwak, aangezien ze gevoelig zijn voor man-in-the-middle aanvallen. Bovendien zijn de antwoorden vaak heel eenvoudig te achterhalen via sociale media.

“Tweetrapsauthenticatie moet out-of-band zijn, via een token of een mobiel toestel,” zegt Stollman. “Als authenticatie een één is op een beveiligingsschaal van één tot tien, dan kan out-of-band tweestapsauthenticatie dat verhogen tot een drie of vier.”

Met deze methodes wordt de gebruiker een code toegestuurd om zich te kunnen inloggen of ze verkrijgen een token, een stukje data dat bewijst wie ze zijn, dat getoond wordt om de authenticatie te voltooien.

Mobiele toestellen zijn natuurlijk een zegen én een vloek. Ze verzwakken out-of-band methodes, aangezien gebruikers op de diensten kunnen inloggen via hun telefoon, waardoor de tweede stap wat teniet wordt gedaan.

Tweetrapsauthenticatie krijgt ook een duwtje in de rug doordat bedrijven hun infrastructuur niet dramatisch moeten aanpassen om de technologie toe te laten.

“Evernote kan de veranderingen doorvoeren zonder de hele site of de API’s te moeten hermaken,” aldus Peterson. “Het is een geïsoleerde verandering, die veel veiligheid biedt voor weinig inspanning, en dat is altijd positief.”

Maar er zijn nog andere factoren om mee rekening te houden, vooral in verband met infrastructuur voor dienstenleveranciers. Hoe accuraat is bijvoorbeeld hun initiële identificatie aan het front-end. En wat hebben ze in hun back-end aangepast om problemen met sessiebeheer, datalekken, SSL-implementatiefouten of foutieve authenticatiegegevens aan te pakken.

Peterson vergelijkt het met het installeren van een moderne nieuwe wasbak die je dan aan een afvoersysteem van 110 jaar oud hangt. “Ik zou het verkiezen als mensen de structurele en strategische problemen aanpakken,” zegt hij.

Hij haalt technieken aan die het gedrag van de gebruiker en fraude of aanvallen herkennen, en authenticatietools intelligenter kunnen maken. Ook GPS en geo-locatie kunnen helpen in het verbeteren van de authenticatie aan de kant van de gebruiker. Zelfs technieken als het schudden met je telefoon of spraakherkenning kunnen als identificatie gelden.

Tweestapsauthenticatie heeft nog niet bewezen dat het volledig resistent is voor menselijke fouten of manipulatie. Onderzoekers vonden bijvoorbeeld gaten in Googles systeem, gebaseerd op een aantal dingen die fout liepen in de back-end van hun diensten.

“Beveiliging werkt als volgt: we leggen de lat wat hoger, en hackers proberen er dan over te springen,” zegt Peterson. “Verhoogt tweetrapsauthenticatie de lat? Een beetje, maar denk ik dat hackers er niet over zullen raken? Nee, ik denk dat ze daar uiteindelijk nog steeds in zullen slagen.”

TechPulse
Redactie TechPulse

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
69% korting + 3 maanden gratis

69% korting + 3 maanden gratis

Bezoek NordVPN

Trending berichten

Business