"One-time wachtwoorden niet zonder risico"
One-time wachtwoorden worden steeds populairder, maar het gebruik is niet zonder risico waarschuwen beveiligingsexperts. Wordt de technologie niet verstandig uitgerold, dan kan het bedrijven kwetsbaarder maken dan als ze geen one-time wachtwoorden zouden gebruiken. Als voorbeeld geven experts de oplossing die Facebook laatst aankondigde. Door 'otp' naar een nummer te sms'en, ontvangt men een eenmalig wachtwoord dat twintig minuten geldig is om in te loggen.
"Je kunt zeggen dat de optie van Facebook je account minder veilig maakt. Als je van je computer wegloopt of je telefoon niet vergrendelt als je bent ingelogd, kan ik je account benaderen en het telefoonnummer in die van mij veranderen", zegt Chet Wisniewski van Sophos. Hij merkt op dat de meeste mensen hun telefoon niet met een wachtwoord beveiligen.
Ook volgens Rachael Stockton van RSA zijn niet alle one-time wachtwoorden gelijk. "Sommige methoden zijn veiliger dan andere. Sms is eenvoudiger te kraken dan sommige andere authenticatiemethoden. Hardware en software one-time wachtwoorden worden over het algemeen gezien als sterker dan via sms geleverde wachtwoorden, maar het moet altijd onderdeel van een gelaagde aanpak zijn, waaronder risico-gebaseerde authenticatie."
Telefoon
Sms mag dan voor sommigen makkelijk zijn, dat is het niet als de telefoon niet in de buurt is. Ook moeten bedrijven rekening houden met de verschillende applicaties die ze moeten ondersteunen, zowel nu als in de toekomst. Ongeacht welke one-time oplossing bedrijven kiezen, blijft het slechts een onderdeel voor het beveiligen van machines en accounts.
Wisniewski benadrukt dat one-time wachtwoorden geen wondermiddel zijn. "Multi-factor authenticatie is een fantastische manier om computers te beveiligen en toegang tot remote netwerken te beveiligen. Het lost niet alle problemen op, maar het is de oplossing voor het probleem van het bruteforcen en uitwisselen van wachtwoorden." Als de computer in kwestie met malware is besmet, biedt ook multi-factor authenticatie geen bescherming, zo besluit hij.
Goddorie, taalmongolen! Lees je wrochtsels toch eens na voor je ze plaatst. Of laat ze nalezen door iemand die het Nederlands wel beheerst.
Als iemand zoveel interesse heeft in jou zou je niet eens een facebook account moeten hebben. Dat soort apparatuur is misschien wel relatief goedkoop (een paar honderd euro?) maar wie gaat zich nou specialiseren in GSM communicatie en afluisterapparatuur daarvoor om een facebook account te kraken?
Grote kans dat de informatie die daar op staat toch gewoon publiek is..
quote
"Je kunt zeggen dat de optie van Facebook je account minder veilig maakt. Als je van je computer wegloopt of je telefoon niet vergrendelt als je bent ingelogd, kan ik je account benaderen en het telefoonnummer in die van mij veranderen", zegt Chet Wisniewski van Sophos.
unquote
dit geld altijd. Of je nu ingelogt bent met statisch wachtwoord of ingelogt bent met een one time password. In beide gevallen kun je weglopen van je pc en ingelogt blijven en kan je account dus gebruikt worden door iemand anders die bij je pc kan. SMS authenticatie in dit geval maakt het dus niet minder veilig. Het is wel veiliger, in mijn optiek zijn een combinatie van gebruikersnaam en eenmalige wachtwoorden ipv gebruikersnaam en statisch wachtwoord veiliger.
Zowiezo zijn de opmerkingen van Wisniewski een beetje gericht op het verkopen van zijn Sophos oplossingen lijkt wel en hebben weinig inhoudelijk toegevoegd aan het topic sterke authenticatie.
Zowiezo is een nuance van dit bericht wel op zijn plaats. Zoals ik dit bericht lees is het ook niet heel snel goed wat bedrijven doen om het inloggen te beschermen.
Het is een goede aktie van Facebook om OTP (eenmalige wachtwoorden) te gebruiken ipv statische wachtwoorden, dit maakt het veel veiliger immers statische wachtwoorden zijn makkelijk te hacken/cracken/raden/vinden etc en OTP's niet.
Dus een enorme stap voorwaarts.
Dat gebruikers een verantwoordlijkheid daarnaast hebben om de account te beschermen staat als een paal boven water.
Dat SMS authenticatie niet "the bomb" is zoals veel mensen nu denken (hype) is waar, er kleven nadelen aan. (kosten, onderscheppen, vindbaarheid van de SMS OTP etc) echter bied het een veel sterkere manier van inloggen dan een statisch wachtwoord dus in veel gevallen een schitterende oplossing.
grtn
-Rob
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
