Achtergrond

Security Tip van de Week: gebruik 2-factor authenticatie

maandag 13 mei 2013, 10:55 door Michael van der Vaart, 17 reacties

In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de tip van Michael van der Vaart

Stel 2-factor authenticatie in
2-factor authenticatie bij het inlogproces wordt in steeds meer situaties toegepast. Google, Apple, Dropbox en Facebook bieden deze mogelijkheid voor hun gebruikers en zo zullen er meer volgen. Ook in de bedrijfsomgeving wordt 2-factor authenticatie steeds vaker gebruikt. Zo zijn wij zelf overgestapt naar een 2-factor softtoken systeem (dmv smartphone app) voor onze virtuele werkplekken en is de toegang tot het bedrijfsnetwerk via VPN op dezelfde manier beveiligd.

Wachtwoorden geven toegang tot steeds meer gegevens en controle. Accounts op webshops en app stores waar standaard een creditcard aan gekoppeld is, sociale netwerken, bestanden en e-mail. Hierbij is het wachtwoord is de enige bescherming om toegang te controleren. Het probleem is dat alleen een wachtwoord een relatief zwak beveiligingsmechanisme kan zijn.

Gebruikers hebben vaak zwakke wachtwoorden die voor meerdere accounts worden gebruikt en geven deze vaak gemakkelijk weg. Als social engineering geen vruchten afwerpt, is het plaatsen van een eenvoudige keylogger voldoende om de magische tekens op te vangen. En als je zelf denkt een sterk wachtwoord te hebben gekozen, komt het ook nog weleens voor een website wordt gehackt en jouw wachtwoord mogelijk alsnog op straat komt te liggen.

Banken en de overheid (DigiD) maken daarom al lange tijd gebruik van 2-factor authenticatie. Dit systeem vereist dat de gebruiker niet alleen iets weet (het wachtwoord) maar ook iets heeft (de 2e factor). Deze tokens (codes) zijn uniek, eenmalig te gebruiken en slechts een beperkte tijd houdbaar. Sommige banken sturen een 2e token per SMS evenals bij DigiD. Andere banken vereisen dat er een los apparaat wordt gebruikt om de 2e token te genereren voordat er een betaling gedaan kan worden.

Met alle informatie die wij opslaan in de digitale wereld, is het verstandig om, waar mogelijk deze informatie op de meest veilige manier te beveiligen. 2-factor authenticatie biedt een verbeterde en meer persoonlijke authenticatievorm. Het wordt door steeds meer online services aangeboden en is de meest verstandige keuze. Zo heeft Apple onlangs ook 2-factor authenticatie voor Nederland ingeschakeld, waardoor iTunes en App Store aankopen worden gekoppeld aan unieke devices. (zie Apple voor meer informatie en het inschakelen van deze dienst).

Voor gebruikers met een Google Account is het heel eenvoudig om 2-factor authenticatie in te schakelen. Na het inschakelen van 2FA moet de gebruiker behalve zijn of haar wachtwoord ook een token invoeren. Deze komt binnen via een app op de smartphone, een SMS of telefoonoproep. Dit gaat verder dan Gmail- het is op veel sites en diensten mogelijk om in te loggen met een Google account. (zie Google voor meer informatie en het inschakelen van deze dienst).

Dropbox, de meest populaire online storage biedt gelukkig ook ondersteuning voor 2FA, hiervoor kan gebruik worden gemaakt van het systeem van Google of gekozen worden uit alternatieven. (zie Dropbox voor meer informatie).

Tot slot is het ook mogelijk om Facebook via 2FA te beveiligen. Omdat Facebook door veel mensen continue in gebruik is zou per-sessie 2FA erg gebruiksonvriendelijk zijn. In plaats daarvan autoriseren gebruikers een systeem als ze zich er voor de eerste keer op aanmelden via een code die per SMS wordt ontvangen, iets dat Facebook “Aanmeldgoedkeuringen” heeft gedoopt wat is terug te vinden onder Instellingen > Beveiligingsinstellingen > Aanmeldgoedkeuringen. (zie Facebook voor meer informatie).

Het kan natuurlijk voorkomen dat het niet langer mogelijk is voor een gebruiker om de 2e factor in te zetten, bijvoorbeeld als je mobiele telefoon of token is gestolen. Voor dit soort gevallen worden er bij sommige 2FA systemen een eenmalig te gebruiken, langere noodcode aangemaakt die de gebruiker op een veilige plaats dient te bewaren. Elk 2FA systeem kan een eigen nood of herstelsysteem hebben, dus let hier goed op.

Informatie wordt steeds toegankelijker en op verschillende plekken opgeslagen, laten we deze allemaal op de beste manier beveiligen. 2-factor authenticatie is weer een stap in de goede richting.

Michael van der Vaart is technical information manager bij security expert SpicyLemon.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Juridische vraag: baas wil andere virusscanner op mijn pc

Juridische vraag: moet ik videobeelden aan de politie afstaan?

Reacties (17)

13-05-2013, 13:08 door [Account Verwijderd]

[Verwijderd]

13-05-2013, 15:45 door Anoniem

Door Hugo: Het probleem met de beschreven 2-factor authenticatie is dat je je mobiele nummer moet afgeven. Persoonlijk lijk mij het afgeven van je mobiele nummer aan bedrijven als Google en Facebook een bijzonder slecht idee. En het feitelijke probleem (zwakke wachtwoorden of onveilige omgang met wachtwoorden) is heel makkelijk op te lossen (kies een sterk wachtwoord, voor ieder account een nieuw wachtwoord) zonder je mobiele nummer te hoeven afstaan. Een password-vault applicatie die sterke wachtwoorden genereert is dus de eigenlijke oplossing voor het probleem.

Hoezo? Je kan toch ook prima een authenticator of iets dergelijks gebruiken. Een mobiele telefoon is geen verplichting.

13-05-2013, 16:07 door Peter B.

Sterke wachtwoorden zijn niet zo gebruiksvriendelijk.

In theorie heb je gelijk dat sterke wachtwoorden ook helpen, de praktijk blijkt anders te zijn.

13-05-2013, 16:56 door Anoniem

Waarom geen Yubikey?

13-05-2013, 18:47 door Anoniem

Een combinatie van 2FA (iets dat je weet (wachtwoord/pincode) en iets dat je bij je hebt (token, smartphone)) met One Time Passwords (eenmalige wachtwoorden) is uiteindelijk dat wat nodig is.

Hiermee omzeil je ook keyloggers die je sterke wachtwoord achterhalen en daarmee verder altijd kunnen inloggen. Door een telkens wijzigend wachtwoord per login sessie (te genereren door een token bv) voorkom je dat en daar het automagisch gegenereerd wordt hoef je ook geen moeilijke lange sterke wachtwoorden te onthouden. Nadeel kan wel zijn dat de systemen waar je bij inlogt dit allemaal wel moeten ondersteunen. Dat is lang niet altijd mogelijk.

Een escape is, zoals eerder vermeld, een wachtwoord kluis waar je sterke wachtwoorden in opslaat voor de diverse accounts. Toegang tot die kluis kan dan weer wel met een 2FA OTP, zodat eea toch weer veiliger is.

Een voorbeeld van een goed en goedkoop 2FA OTP token is de ook al genoemde YubiKey met indien gewenst bv LastPass als password vault. Aardige van YubiKey is dat er veel open source software beschikbaar is om eea zelf mee op te zetten oa. VPN / Radius toegang. Tevens biedt YubiKey ook de mogelijkheid om sterke wachtwoorden in op te slaan als je die toch wilt gebruikten.

13-05-2013, 23:15 door Patio

Michael schreef over wachtwoorden: geven deze vaak gemakkelijk weg. Dan houdt natuurlijk alles op en ben je aan de demonen overgeleverd. Ook het inloggen met een elektronisch postadres is gebruiksvriendelijk, maar inderdaad niet zonder risico. Ook je mobiele nummer prijsgeven is een slecht idee, zeker als je in het buitenland woont. Dan kan het je nog geld kosten ook.

De beveiliging van de banken met zo'n soort zakjapannetjer dat zo'n korte tijd geldige sleutel genereert is wel het veiligste. Yahoo heeft ook een elegante oplossing, waarbij je eenmalig een code genereert zodat je kan zien of je voldoende veilig bent aangemeld en je account niet is gehackt.

Kortom, het prijsgeven van privé-informatie als e-mail, postcode, BSN (heb ik niet meer!) of vergelijkbare, verblijfslandsafhankelijke gegevens aan mogelijk louche figuren en/of webstekken zoveel mogelijk achterwege laten en verzoeken daartoe als het even kan negeren, Zo heb ik hier en daar niet alleen verschillende wachtwoorden, maar ook aanmeldnamen, -nummers enz. wijken, soms heel subtiel, af.

Deze nieuwe gadget van Facebook, Google+, Hyves, NetLog, Tumblr, Twitter, Viadeo enz., enz. geeft een soort schijnveiligheidsgevoel dat me letterlijk gestolen kan worden, maar wie het proberen wil, mag natuurlijk altijd. De meesten wonen in een vrije wereld, gelukkig. Helaas zijn er nog wat uitzonderingen die ik liever niet noem, maar jullie allen weten vast wel, welke duistere staten met nog schimmiger "regeringen" ik bedoel.

Tenslotte: Wat is Yubikey en welk bedrijf zit erachter. Klinkt aardig, maar de "uitleg" vind ik (nog?) niet voldoende helder, ben waarschijnlijk een tikkeltje te oud voor dit nieuwe aardigheidje ;-)

14-05-2013, 13:33 door Anoniem

Die van Apple werkt niet meer.

http://www.onemorething.nl/2013/05/uitrol-tweestapsverificatie-apple-id-vertraagd/

14-05-2013, 14:35 door swake

Deze komt binnen via een app op de smartphone, een SMS of telefoonoproep

En wat als het account gehackt word, en de hacker verandert het nummer in dit van zijn nummer. Hoe gebeurt de bevestiging? Krijgt de gebruiker een bericht op zijn nummer om de wijziging van nummer te bevestigen, of komt het bericht om te bevestigen op het nummer van de hacker?

14-05-2013, 14:36 door Anoniem

Door Anoniem: Waarom geen Yubikey?

Waarom wel?

Door Anoniem: Een combinatie van 2FA (iets dat je weet (wachtwoord/pincode) en iets dat je bij je hebt (token, smartphone)) met One Time Passwords (eenmalige wachtwoorden) is uiteindelijk dat wat nodig is.

Klinkt vreselijk ingewikkeld. Niet echt iets waar ik op zit te wachten voor het het hotmail/gmail account van de sportclub.

En om nou derde partijen mijn toegang te laten "beheren", voor je het weet doen ze een facebookje en gaan ze uitvogelen wie toegang heeft of welke accounts, en daar relaties uit distilleren en zo verder. Dat soort informatie hoef ik nou ook weer niet zo nodig gedwongen te mogen lekken. Lijkt me ook niet echt noodzaak toe.

14-05-2013, 17:35 door Anoniem

mooi verhaal Michael.
Echter een nadeel vind ik dat je van iedere app een autheticatie app of sms krijgt. en gebruiksgemak is af en toe ver te zoeken. Bij google heb ik eerst 11 schermen doorlopen voordat ik het operationeel had.

zelf gebruik ik sinds kort www.mydigipass.com van Vasco. ( doen ook de readers van onze banken)

hier kan ik al mijn wachtwoorden kwijt in een launchpad kwijt en sommige applicaties geven mij de mogelijkheid om veilig in te loggen.Het is gratis, secure en ik heb een secure single sign-on platform wat mij persoonlijk veel gebruiksgemak levert.
Tevens kan ik nu snel een account aanmaken bij de aangesloten secure applicaties en bepaal ik zelf wie mijn gegevens krijg.

Hier even een kort fimpje met de uitleg: http://www.youtube.com/watch?v=LUYBpTfZnW0

14-05-2013, 17:35 door Anoniem

Door swake:

Deze komt binnen via een app op de smartphone, een SMS of telefoonoproep

Bij de ING in ieder geval wordt er een sms naar je huidige nummer gestuurd met een code die je moet opgeven dus als iemand het nummer zou wijzigen dan zou je dit te weten komen en zonder de code gestuurd naar je huidige nummer kan de hacker niks.

15-05-2013, 12:53 door Anoniem

DigiD gebruikt default geen 2-factor authenticatie (o.b.v. SMS), tenzij de aangesloten dienstaanbieder (bijv. DUO) deze extra controle vereist. Je kan wel zelf via Mijn DigiD instellen dat je altijd voor alle diensten via 2-factor authenticatie wil inloggen. Dat maakt het gebruik van DigiD veiliger.

Zie: https://www.digid.nl/vraag-en-antwoord/?nodeid=1949

15-05-2013, 15:41 door Anoniem

Jammer dat je het artikel van Paypal niet meeneemt in je verhaal https://www.security.nl/artikel/46217/1/PayPal%3A_wachtwoorden_zijn_morsdood_.html

15-05-2013, 15:42 door security matters

Jammer dat je het artikel van Paypal niet meeneemt in je verhaal https://www.security.nl/artikel/46217/1/PayPal%3A_wachtwoorden_zijn_morsdood_.html

18-05-2013, 10:15 door Anoniem

Ook SMS biedt hier geen enkele zekerheid voor 2 factor authenticatie.
De telefoon kan (tijdelijk) gestolen worden, of SIM kaart gecloned, of malware dat SMS onderschept en doorstuurd, etc.
What's next?
Vingerafdrukken?
Irisscans?
Stemherkenning?
Ook dit kan vroeg of laat onderschept worden en dan is het hek helemaal van de dam natuurlijk, als men je stem heeft opgevangen, of irisscan of fingerprint.

Wat wél (mede) helpt is (en ik heb dat al diverse malen geopperd) de celstraffen voor computercriminaliteit drastisch te verhogen, en uiteraard de pakkans ook drastisch te verhogen, want de laatste 3 jaar word er zo gigantisch veel computercriminaliteit gepleegd en her en der eens een aanhoudinkje, de nozem word dan veroordeeld voor een maandje of 6 terwijl de opbrengst (crimineel verkregen winst) en de schade voor slachtoffers EN maatschappij gigantisch is.

Waanzin natuurlijk, gewoon minimum straffen op zetten aangezien de wereld en economie steeds meer afhankelijk wordt van computers, internet en netwerken.
Begin eens met een minimum celstraf van 10 jaar (6,5 jaar netto zitten) voor de (relatief) wat "lichtere" computercriminaliteit, oplopend tot ??????
Uiteraard de staat ervoor laten zorgdragen dat eventuele schadeclaims op de daders verhaald worden, levenslang plukken dat tuig.
Niet betalen? Dan aanhouden en weer vastzetten.
Net zolang totdat ze betaald hebben.

18-05-2013, 16:39 door Anoniem

Door Anoniem: Wat wél (mede) helpt is (en ik heb dat al diverse malen geopperd) de celstraffen voor computercriminaliteit drastisch te verhogen,

Omdat je het regelmatig oppert? Of waarom denk je dat het helpt?

en uiteraard de pakkans ook drastisch te verhogen,

Uiteraard? De pakkans is sinds 2004 alleen maar gedaald. En dat dus ook onder de koningen van de strafverzwaring, fred&ivo. Zo uiteraard is dat dus niet.

want de laatste 3 jaar word er zo gigantisch veel computercriminaliteit gepleegd en her en der eens een aanhoudinkje,

Doe eens cijfers? Of moet ik dat meer in de procenten alcohol in je bloed zoeken?

de nozem word dan veroordeeld voor een maandje of 6 terwijl de opbrengst (crimineel verkregen winst) en de schade voor slachtoffers EN maatschappij gigantisch is.

Als die echt zo gigantisch is dan had de maatschappij zich er beter gewapend, want dan zit er geld in het voorkomen van de schade. Lijkt me een gevalletje "straatwaarde".

Waanzin natuurlijk, gewoon minimum straffen op zetten aangezien de wereld en economie steeds meer afhankelijk wordt van computers, internet en netwerken.

Want alles wat er misgaat met je kompjoeter is de schuld van een naamloze "hackur", ongeacht of dat waar is of niet. Want ondanks dat we weten dat de systemen wel erg makkelijk stuk te maken zijn en het beter kan, en dat het beter moet, precies vanwege de afhankelijkheid die we onszelf aanmeten (dat is echt niet de schuld van criminele misbruikers, die zien hun kans omdat wij de deur open hebben laten staan) doen we nog maar bar weinig aan dat verbeteren. Een beetje pappen en nathouden, dat is het.

Minimumstraffen zijn eerder een terugslag tegen rechters die "skaamtekoeltoer" aanhalen om misdoeners met vanalles weg te laten komen (nou, ga je dan maar schamen in de bak, denk ik dan, maar een weekje schoffelen voor moord vindt de rechter ook wel best en nu huilen de cipiers dat de gevangenis leegstaat), maar wat mij betreft nou niet erg juist, of zelfs maar doordacht, qua oplossing.

Begin eens met een minimum celstraf van 10 jaar (6,5 jaar netto zitten) voor de (relatief) wat "lichtere" computercriminaliteit, oplopend tot ??????
Uiteraard de staat ervoor laten zorgdragen dat eventuele schadeclaims op de daders verhaald worden, levenslang plukken dat tuig.
Niet betalen? Dan aanhouden en weer vastzetten.
Net zolang totdat ze betaald hebben.

Waar gaan ze dat geld vandaan halen, denk je?

Juistem, criminaliteit. Want van tomaten plukken alleen al rondkomen is nog geen sinecure.

Ik denk dat je hier beter nog maar eens over kan proberen na te denken als je sober bent.

10-10-2014, 11:52 door Dozer72

heb ik eens een vraag betreffende dropbox en two step verification.

Is het mogelijk om 1 dropbox account te hebben en deze met 2 verschillende telefoons (nummers) te benaderen via two step verification??

Ik kan dit namelijk nergens vinden of dit wel of niet mogelijk is.

Alvast bedankt voor de moeite.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer