16-05-2023, 11:14 door Anoniem: Gebruik een extensie als Phish Detect, activeer tevens phish detectie binnen Windows Defender of binnen je av oplossing.
Mijn ervaring is dat dit soort oplossingen in slechts een deel van de gevallen werken (wil je dat risico nemen?) en dat, hoe "alerter" zo'n oplossing is, hoe meer valspositieven je krijgt.
16-05-2023, 11:49 door Anoniem: Nu schijnt die extensie Phish Detect te zijn gediscontinueerd.
Dan zou ik dat zeker niet meer gebruiken.
16-05-2023, 11:49 door Anoniem: Bij nader inzien toch beter gebruik maken van de Netcraft Extensie?
Het vervelende bij PHISHING en het detecteren ervan (ook binnen de browser) is, dat men vaak achter de feitelijkheid aanloopt.
Precies.
16-05-2023, 11:49 door Anoniem: Veel gewone gebruikers zijn ook door het "groene slotje" verhaal op het verkeerde been gezet.
Ik vind de manier waarop beveiligingsmaatregelen worden "verkocht" aan het publiek vaak ordinaire misleiding, misbruik makend van het feit dat maar weinig mensen begrijpen welke risico's
niet worden afgedekt door oplossingen, noch hoe eenvoudig die oplossingen te omzeilen zijn.
Bijvoorbeeld in de "Factsheet Gebruik tweefactorauthenticatie" bijgewerkt (17-03-2023) van het NCSC.nl, te downloaden uit
https://www.ncsc.nl/onderwerpen/phishing/documenten/factsheets/2019/juni/01/factsheet-gebruik-tweefactorauthenticatie, lees ik
niets over de risico's van MFA-oplossingen, wordt er voor een keuze daarvoor verwezen naar een schijnbaar willekeurig Engelstalig artikel (zie onder), begint het document met "Wachtwoorden alleen zijn niet voldoende" om vervolgens grotendeels over wachtwoorden te gaan.
Uit het -Engelstalige- artikel waarnaar verwezen wordt,
https://www.nytimes.com/wirecutter/reviews/best-two-factor-authentication-app/:
FYI
After another round of testing, Duo Mobile is our new pick. Authy is a runner-up and Google Authenticator is an also-great pick for those who don’t want cloud backups.
In december schreef ik
https://www.security.nl/posting/778668/TOTP+Authenticators+drama grotendeels op basis van een wetenschappelijke publicatie (PDF te downloaden uit
https://github.com/blues-lab/totp-app-analysis-public onder "Full paper here") betreffende onderzoek naar TOTP authenticators.
AuthyLater heb ik, voor Authy (van Twilio), in
https://tweakers.net/nieuws/207532/#r_18549330 de
m.i. dramatische onderzoeksresultaten samengevat.
Google AuthenticatorVan de door Google Authenticator gebruikte "shared secrets" (een random getal, zowel bekend in jouw app als op de server waar je met de 30-seconden geldige code inlogt) werden -tot voor kort- geen back-ups gemaakt. Toen Google aankondigde dat wel te gaan doen, schreef ik al in
https://tweakers.net/nieuws/209066/#r_18681884:
Dat Google eindelijk de "shared secrets" gaat back-uppen is een goede stap, maar zonder aanvullende beveiliging in jouw Google account is dat een slecht idee. Zo lang niet duidelijk is hoe Google dit gaat oplossen (zonder een extra en sterk wachtwoord - dat een deel van de gebruikers natuurlijk vergeet), kun je beter zelf voor back-ups zorgen (ik maak bijv. altijd een screenshot van de QR-code die ik in KeePass opsla).
De huidige versie maakt die back-ups nu kennelijk wel, maar -wat ik al vermoedde- niet "E2EE" versleuteld:
https://www.security.nl/posting/794372/Onderzoekers%3A+back-up+codes+Google+Authenticator+niet+end-to-end+versleuteld.
Bizar ook, links bovenaan in
https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 staat, onder het icoontje van Google Authenticator:
5.0*
448K reviews
Aanvulling 12:56: het hangt er kennelijk vanaf wie die pagina bekijkt. Tegen
https://archive.is/ZPz36 liegt Google:
4.0*
448K reviews
Verderop staat echter:
3.8
434K reviews
En in de Play Store app zie ik:
3.9
434,118
Over de oude versie waren zeer veel kritische reacties van mensen die al hun 2FA codes kwijt waren na verlies van hun smartphone (of het hopeloos defect raken daarvan), en sinds de laatste update zie ik veel mensen bij wie alle codes er tweemaal in staan of waarbij de app totaal niet meer werkt (ook zijn er nog klagers die melden al hun codes kwijt te zijn).
Duo MobileMet Duo Mobile heb ik zelf geen ervaring. Eerdergenoemde onderzoekers hebben ook niet veel kritiek: als je de app nog niet, of met een verkeerd wachtwoord, ontrendelt, zou deze geen TOTP codes
maar wel de "labels" laten zien. Het wordt mij niet duidelijk of dit betekent dat die "labels" ook in back-ups onversleuteld zijn (zoals bij Authy).
Alternatief: Microsoft AuthenticatorMicrosoft Authenticator lijkt bijna een "must" als je Microsoft 365 gebruikt. Deze app wordt door Microsoft zelf enorm overgewaardeerd (gelijkgesteld met sterke MFA). De "innovaties" daarin blijken soms waardeloos, zie
https://www.bleepingcomputer.com/news/microsoft/microsoft-enforces-number-matching-to-fight-mfa-fatigue-attacks/. En qua privacy vertrouw ik Microsoft steeds minder.
Alternatieven: Aegis voor Android (en Raivo OTP)Zelf heb ik goede ervaringen met Aegis, en in
https://tweakers.net/nieuws/209144/#r_18688620 tipt Tweaker "daanb14" over Raivo OTP (waar ik geen ervaring mee heb). In
https://tweakers.net/nieuws/209144/#r_18688806 en
https://tweakers.net/nieuws/209144/#r_18690616 beschrijf ik enkele van mijn ervaringen met Aegis (open source:
https://github.com/beemdevelopment/Aegis).
MAAR LET OP:1) TOTP apps beschermen
niet tegen evil proxies (zie bovenaan deze pagina);
2) Je moet de database met TOTP-secrets en "labels" op dezelfde wijze behandelen als een database van een wachtwoordmanager: fatsoenlijke encryptie met een zeer sterk wachtwoord zijn vereisten als die database jouw smartphone verlaat (bijv. ergens in de cloud geback-upped wordt), of als die database en/of de app eenvoudig toegankelijk zijn op jouw smartphone. Naast dat dit wachtwoord niet in "dictionaries" met gelekte wachtwoorden voor mag komen,
moet het tevens lang zijn om brute-force attacks te bemoeilijken. Immers, in tegenstelling tot een (actieve) server kan een (passief) bestand zich niet verdedigen tegen dat soort aanvallen (zoals met tijdelijke account lock-outs of steeds langer durende vertragingen na meer foute pogingen). Een pincode is dus nauwelijks zinvol. Wat
wél kan is dat zo'n lang wachtwoord op jouw smartphone veilig in een "hardware enclave" staat en voor gebruik wordt
vrijgegeven met een pincode, met biometrie als alternatief. Belangrijk: je zult dan toch dat lange wachtwoord ergens op een veilige plaats moeten bewaren, voor het geval dat jouw smartphone ontoegankelijk wordt (bijv. gestolen wordt, in de plee valt of op andere wijze onherstelbaar defect raakt).
3) Sowieso is het onverstandig om jouw ontgrendelde smartphone uit te lenen, maar als TOTP-codes dan leesbaar zijn voor die lener, kan deze (in korte tijd) een "time-traveler-attack" uitvoeren door de datum en tijd van jouw smartphone op een handig tijdstip in de toekomst te zetten, de gewenste TOTP code(s) af te lezen en de systeemklok weer terug te zetten.