MFA wordt ineens gezien als de helige graal, maar zoals het meestal wordt ingezet biedt het geen bescherming tegen phishing-aanvallen door cybercriminelen die rekening houden met de inzet van MFA.

Hoe zou het dan ingezet moeten worden? En wat is fout bij de huidige aanpak?

Volgende week in het nieuws: Minister gevraagd of settings 'drop packet' de norm moet worden in firewalls.

Ben ik ook wel benieuwd naar?

MFA biedt erg goede bescherming tegen het merendeel van phishing en andere aanvallen blijkt uit de praktijk. Er zijn vast nog wel enkele heel specifieke/gerichte aanvallen die ook met MFA nog lukken, maar 99,99...% van je af.
De AP heeft daar net ook over gerapporteerd https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-luidt-noodklok-explosieve-toename-hacks-en-datadiefstal

Zoals ik eerder ongeveer schreef in https://www.security.nl/posting/679861/DUO_com+goede+2FA#posting679885:

De meeste 2FA-oplossingen helpen bij zwakke wachtwoorden maar bieden geen bescherming tegen phishing (waarbij de gebruiker op een fake website belandt - die natuurlijk als twee druppels op de echte site lijkt). Daarbij kunnen aanvallers gebruik maken van tools zoals Modlishka, Muraena, Evilgenx2 of CredSniper op een fake server. Zodra de gebruiker diens gegevens invoert op die fake server, logt de aanvaller (of genoemde software) daarmee meteen in op de echte server.

Als zo'n aanval mogelijk is (de gebruiker de domeinnaam niet goed checkt of erger, als het domein gekaapt is), is de gebruikte MFA niet beter dan een sterk wachtwoord (iets waar een wachtwoordmanager bij kan helpen). De suggestie dat MFA het veiliger maakt is dan schijnveiligheid - met het risico voor een gebruiker dat zij/hij de eigenaar van de server (zoals een bank) er moelijker van kan overtuigen dat niet zij/hij zich heeft geauthenticeerd, maar iemand anders.

Alleen als de door de user gebruikte software de domeinnaam checkt (bijv. WebAuthn bij webbrowsers), of -nog veiliger- die software aan de hand van de TLS handshake en/of middels certificate/public key pinning uitsluit dat er een MitM tussenzit (maar dat gaat niet als iets onderweg TLS-inspection doet, zoals antivirussoftware van de gebruiker), is phishing middels MitM aanvallen moeilijker of onmogelijk - tenzij het door de user gebruikte device gecompromitteerd is (denk bijv. aan Man-in-the-Browser aanvallen).

Heren, een van de meest belangrijke dingen van de 2 in de 2FA is dat 1) je iets weet, en 2) iets HEBT en waarbij hetgeen dat je hebt, via een ander 'kanaal' komt/gaat dan hetgeen dat je WEET. Als je als 2e factor een device gebruikt dat een TOTP aanbiedt, dan heb je niet alleen bescherming tegen zwakke wachtwoorden; (de 1e factor), maar tegelijkertijd bescherming tegen een middle-man achtige aanval (door bijv een keylogger in malware op je windows PC).

Essentieel is daarbij WEL dat die 2e factor niet via een online password manager verkregen wordt die vanaf diezelfde PC benadert is. Hier zit dus ook nog de zwakte van menig 2FA: server side kun je niet afdwingen dat de 2e factor via de smartphone ipv een browsertje komt waarbij malware met een keylogger / screenshot module op de PC mee kijkt. De enige optie is daar hardware tokens dan uitdelen en daarmee vervallen we eigenlijk terug in het ouderwetse analoge slsutels aan je sleutelbos model. Alleen dus nu bijna voor elke web site / web shop / mail account etc. Dus dat schaalt ook weer niet. noot: De 1e factor biedt dan bescherming tegen misbruik van de sleutel door mensen die hem stiekem even 'geleend' hebben. Ze zijn beiden nodig voor de bescherming.

Efin, omdat het digitaal is, is de wereld niet meteen anders. De computer / digitale wereld, is geen magisch dingetje dat alles op zal lossen ook al lijkt het af en toe 'tovernarij'! Wel is het zo dat diezelfde digitale wereld meer afstand creert tussen mensen en extra lagen van abstractie introducreen waardoor er dus veel en vaak en vlug dingen mis gaan en de impact meteen groot is ipv een brief uit een brievenbus vissen oid. Ook is het voor menig mens steeds maar moeilijker en moelijker alle veranderingen en zaken steeds maar weer bij te houden, zeker naar mate je ouder wordt. Daar niet bij stil staan allemaal, is erg onprofesioneel en naief.

https://en.wikipedia.org/wiki/Time-based_One-Time_Password

Ik weet niet hoe het bij jullie zit maar ik moet eerst 5 minuten scrollen door mijn authenticator voordat ik de juiste code heb...
Ok iets minder maar als je 10 accounts hebt is het overzichtelijk maar het wordt steeds onoverzichtelijker. Ook is de trend dat steeds meer bedrijven hebben of krijgen hun eigen authenticator app (bibliotheek!, banken).

Straks hebben we niet alleen een wachtwoordmanager nodig, maar ook nog een bureaulade of reiskoffer vol met verschillende hardware authenticators...

Big Brother ofwel het AP heeft verkondigd dat MFA de oplossing is voor alle identiteitsdiefstallen.
Wat een Big Brother via het minitrue als waarheid verkoopt is niet zomaar de achte waarheid. De SP als slaafse volger in de digibetocratie is een problematische politiek.

Er zou verbetering moet komen in het bewijs van de juiste persoon, dat lost de gevolgen op doordat niemand zich zo makkelijk voor een ander kan uitgeven. Daarmee is het geheim moeten houden van naw /bsn meteen achterhaald, dat is zoals het wettelijk vereist is.

Het is verder een prima idee. Echter ga ik niet zomaar overal mijn 06-nummer achterlaten (doe ik nu al zeer sporadisch). En sowieso nooit een applicatie gebruiken om inloggen mogelijk te maken (wat dan op een gegeven moment niet meer werkt omdat MOS niet meer ondersteund wordt).

Beiden leveren meer privacy risico op dan dat het veiliger wordt. Gebruik nu bijna overal (indien belangrijk) uniek mailadres en wachtwoord. Hoeven alleen de sites zelf hun zaakjes nog maar op orde te hebben...

En dat laatste is bijna nergens meer, doe dan ook steeds minder online.

ha ha ha net als die hype met al die pasjes her en der destijds... ja dat gaat komen, maak je borst maar nat... vruchten van 'alles mot digitaal'.

Het is geen middel tegen alle kwalen, maar een krachtige meerfactor authenticatie zoals bijvoorbeeld onder de FIDO2 standaard is wel een krachtig middel tegen sommige kwalen. Overigens alleen daar waar je ook werkelijk van twee partijen zeker wil zijn dat je met elkaar praat, zoals bijvoorbeeld DigID.

goed idee van de SP.

Het hebben van een goed idee is niet voldoende. Je moet het ook goed uitvoeren.
Verschillende reageerders hebben bedenkingen op de mogelijke technische keuzes. Die begrijp ik.
Niets is perfect. Maar je kan wel degelijk zorgen dat de kans op ongelukken wordt vekleind.

Een van de opmerkingen is wel heel erg relevant.
De reiskoffer met authenticatiemiddelen lijkt me ook niet wenselijk.
Gelukkig hebben we met de eIDAS verordening een middel om het aantal authenticatiemiddelen te minimaliseren.
Ik heb dat al een aantal keren bepleit.

Mijn pleidooi:
Zet op elk door de overheid uitgegeven plastic document een eIDAS erkend autenthicatiemiddel (een certificaat) dat gebruikt kan worden door de burger. eIDAS erkend betekent dat elke Europese overheid het middel niet mag weigeren.
Dus een certificaat in het paspoort, ID bewijs, Verblijfsvergunning, rijbewijs, kentekenbewijs, etc.
De burger kan dan zelf kiezen of één of meerdere plastic documenten worden gebruikt voor inloggen.

Dat betekent niet dat iedere webportal eigenaar vrijheid heeft om dit in Europa hoogste niveau van authenticatiemiddel moet gebruiken. Soms zelfs moet het imho zelfs worden verboden. Soms is anonimiteit namelijk belangrijker. Daar moet je ruimte voor laten/houden.

Wellicht is ook een integratie van attributen (zie IRMA van Prof Bart Jacobs) een goed idee. Dan kan slechts een relevant attribuut worden gecontroleerd. Vaak is dat voldoende. Daarvoor moet dan wel de uitgever van zo'n attribuut aantoonbaar betrouwbaar (en dus bekend) zijn. Voor veel zaken is dit gemakkelijk in te regelen.

Dan nog kan een Man In The Middle aanval mogelijk zijn. Bescherming hiertegen is een ander technisch domein. Juist ook zo'n ander technisch domein kan weer alleen maar werken als MFA beschikbaar is. Dus het één versterkt het ander. Dat is bij verkeersveiligheid ook zo. De ene veiligheidsregel versterkt de ander (of is zelfs randvoorwaardelijk).

Ook als informatieveiligheid op bovenstaande manier is versterkt, dan nog kan het nodig zijn extra maatregelen te nemen. Denk bijvoorbeeld aan het formeel ondertekenen van emails (of andere berichten) als die ook een formeel karakter heeft. Bijvoorbeeld zakelijke emails door bedrijven/organisaties. Als dit een eIDAS handtekening is, dan is minimaal de uitgever van die handtekening bekend. En daarmee is ook de identiteit van de ondertekenaar te achterhalen.

Is dit allemaal al volwassen genoeg? Nou, nee. Maar je (de maatschappij natuurlijk) kan wel beginnen volwassen te worden.

Als het dak lek is, dan moet je dweilen. En dan is het zeker zo aardig als er ook iemand het gaatje aan het dichten is. Anders blijf je dweilen. Dat is nu gaande.

ik hoor graag reacties

Kan iemand dit vertalen?

electronic IDentification, Authentication and trust Services: EU Regulation 910/2014 of 23 July 2014

https://en.wikipedia.org/wiki/EIDAS

Helaas niet. Heb hem vaker om uitleg gevraagd, helaas krijg je dat niet. Ben dan ook al lange tijd gestopt met het lezen van zijn teksten. Maar denk dat zijn strekking is dat niemand recht heeft op privacy, dit om gespuis te kunnen pakken.

Dit is de vraag in de kamerbrief daarover:
Er wordt gevraagd naar de reactie op een suggestie. Het genoemde effect is dat "veel schade beperkt of zelfs voorkomen" zou kunnen worden met MFA. Je blaast dat nogal op door dat te interpreteren alsof men er de heilige graal in ziet. Dat is niet wat ik zie staan.

Terzijde: ik vind het tenenkrommend om te zien dat in de ene brief met kamervragen na de andere, menig kamerlid er blijk van geeft de meest basale faciliteiten van tekstverwerkers niet te kennen. Ze maken kopjes vet in plaats van ze als koptekst te markeren, ze typen de nummers van genummerde lijsten en voetnoten zelf in. Ze gebruiken Word alsof het niet meer kan dan Wordpad.

MFA gaat exact nul zaken voorkomen. Vrijwel alle problemen zijn terug te leiden naar nalatige gebruikers of stomweg een gebrek aan security bewustzijn bij programmeurs, beheerders, en managers.

MFA heeft geen enkele meerwaarde boven bewustzijn bij de gebruiker.

Als je gebruikers zover krijgt dat ze overal unieke en complexe wachtwoorden gebruiken en kritisch denken elke keer als ze inloggen, dan ben je veel verder.

MFA is alleen maar rompslomp die het onnodig moeilijk maakt voor de meeste mensen. Als je dat ook nog eens gaat afdwingen gaan mensen er juist om heen werken.

Bovendien is het praktisch onhaalbaar. Ga je dan ook verplichten dat iedereen een hardware token moet krijgen als hij/zij daarom vraagt? Of ga je gegevensbeperking uit de AVG kapot maken door iedereen te verplichten zijn telefoonnummer af te geven om met iets antieks als SMS controle op de proppen te komen?

Dit bevestigd alleen maar weer opnieuw hoe ver politici afstaan van de realiteit en hoe dom ze zijn op het gebied van IT.

Je strooit altijd rijkelijk met linkjes om je gelijkt te ondersteunen, NU ben ik wel benieuwd naar een linkje waarin het AP deze bewering doet. Maar ik denk dat het een Karma4 bewering is om zijn hetze tegen het AP voort te zetten.

Natuurlijk helpt MFA en natuurlijk helpt MFA niet tegen alle aanvallen.

Verdiep je eens in MFA en je snapt meteen waarom een goede MFA implementatie in de meeste gevallen extra bescherming geeft. En nee een SMS is geen goede implementatie van MFA.

Hear hear !