image

Belgische overheid: tweestapsverificatie voorkomt 80 procent van hackings

woensdag 25 september 2024, 11:21 door Redactie, 10 reacties

De Belgische overheid is een nieuwe bewustzijnscampagne gestart waarbij het burgers oproept om tweestapsverificatie of tweefactorauthenticatie voor accounts in te schakelen. Dit voorkomt "tachtig procent van de hackings", aldus het Centrum voor Cybersecurity België (CCB). "Met onze campagne hebben we één doel. Alle Belgen tweestapsverificatie laten gebruiken! Dat is onze grote ambitie", zegt Miguel De Bruycker, directeur-generaal van het CCB.

Dagelijks wordt minstens één bedrijf in ons land slachtoffer van een cyberaanval met ernstige gevolgen. De rode draad in vele ernstige cyberincidenten is het ontbreken van tweestapsverificatie. Maar liefst tachtig procent had voorkomen kunnen worden als 2FA werd gebruikt. We vragen het vandaag vriendelijk maar ook met veel aandrang ook aan bedrijven: activeer nu tweestapsverificatie overal waar het kan", gaat De Bruycker verder. "Het is mijn overtuiging dat we met die eenvoudige reflex de cyberveiligheid in België nog een heel stuk kunnen verhogen."

"Ben je overtuigd van het gebruik van tweestapsverificatie? Super! Deel deze sensibiliseringscampagne met je vrienden, familie en collega's. Zo inspireer je anderen om hetzelfde te doen. Samen maken we van België één van de minst kwetsbare landen in Europa op vlak van cybersecurity", aldus Safeonweb, een initiatief van het Centrum voor Cybersecurity België.

Reacties (10)
25-09-2024, 11:38 door Anoniem
Maar wat denken we van die 20% waarbij 2FA niet een hack voorkomt? Maar misschien er wel voor zorgt dat je niet meer bij je data komt omdat je je 2FA kwijt raakt? Voor een bedrijf is dat geen probleem, maar voor zelfs ervaren gebruikers is het heel vervelend als ze zichzelf buitensluiten van hun Microsoft Account of iets vergelijkbaars. Dan moet je al snel denken aan het opsturen van een kopie paspoort of iets dergelijks waarvan niet duidelijk is hoe veilig en hoe lang die wordt opgeslagen aan de andere kant van de oceaan.
25-09-2024, 12:00 door Bitje-scheef
Door Anoniem: Maar wat denken we van die 20% waarbij 2FA niet een hack voorkomt? Maar misschien er wel voor zorgt dat je niet meer bij je data komt omdat je je 2FA kwijt raakt? Voor een bedrijf is dat geen probleem, maar voor zelfs ervaren gebruikers is het heel vervelend als ze zichzelf buitensluiten van hun Microsoft Account of iets vergelijkbaars. Dan moet je al snel denken aan het opsturen van een kopie paspoort of iets dergelijks waarvan niet duidelijk is hoe veilig en hoe lang die wordt opgeslagen aan de andere kant van de oceaan.

Meestal gebruikers die gewoon de code doorgeven/invoeren omdat ze iets zien verschijnen.
25-09-2024, 12:01 door Anoniem
Door Anoniem: Maar wat denken we van die 20% waarbij 2FA niet een hack voorkomt? Maar misschien er wel voor zorgt dat je niet meer bij je data komt omdat je je 2FA kwijt raakt? Voor een bedrijf is dat geen probleem, maar voor zelfs ervaren gebruikers is het heel vervelend als ze zichzelf buitensluiten van hun Microsoft Account of iets vergelijkbaars. Dan moet je al snel denken aan het opsturen van een kopie paspoort of iets dergelijks waarvan niet duidelijk is hoe veilig en hoe lang die wordt opgeslagen aan de andere kant van de oceaan.
Ik adviseer het boek "permanent record" (Onuitwisbaar) van Edward Snowden voor meer info over oa. bewaartermijnen.
Al zegt de titel van het boek wel genoeg.
25-09-2024, 12:04 door Anoniem
Het is inderdaad zo dat 2FA veel hack aanvallen voorkomt. Echter zie je steeds meer technieken zoals Advisary in the middle (AITM) waarbij zelfs de 2FA (met authenticator app) omzeild kan worden. Een betere en veel slimmere oplossing zou zijn om voor iedere gebruiker een YUBI-key of ander soort aan te schaffen. Tevens kan er ook gebruik gemaakt worden van de preview functie voor passkeys op de authenticator app van Microsoft.

Ik vind het dus te kort door de bocht om te zeggen dat 80% van alle aanvallen voorkomen kan worden door 2FA. Veel mensen beschouwen 2FA als een extra authenticatie code. De tokens kunnen echter door verschillende technieken gestolen worden. Ik raad dus YUBI-keys of iets soortgelijks aan.
25-09-2024, 12:42 door Anoniem
Door Anoniem: Maar wat denken we van die 20% waarbij 2FA niet een hack voorkomt? Maar misschien er wel voor zorgt dat je niet meer bij je data komt omdat je je 2FA kwijt raakt? Voor een bedrijf is dat geen probleem, maar voor zelfs ervaren gebruikers is het heel vervelend als ze zichzelf buitensluiten van hun Microsoft Account of iets vergelijkbaars. Dan moet je al snel denken aan het opsturen van een kopie paspoort of iets dergelijks waarvan niet duidelijk is hoe veilig en hoe lang die wordt opgeslagen aan de andere kant van de oceaan.
Je noemt Microsoft als voorbeeld. Die zegt daar dit over:
Important: If you turn on two-step verification, you will always need two forms of identification. This means that if you forget your password, you need two contact methods. Or if you lose your contact method, your password alone won't get you back into your account—and it can take you 30 days to regain access. You may even lose access to the account. For that reason, we strongly recommend you have three pieces of security info associated with your account, just in case.
https://support.microsoft.com/en-us/account-billing/how-to-use-two-step-verification-with-your-microsoft-account-c7910146-672f-01e9-50a0-93b4585e7eb4

Zorg dus dat je een derde factor als backup hebt, en ook hebt gekoppeld, zodat je er nog in kan als een van je twee normale factoren kwijt bent.

Het punt is dat je niet gedachteloos met je digitale bezittingen om moet gaan. Het lukt mensen ook om voordat ze hem nodig hebben te regelen dat ze toegang hebben tot een reservesleutel van hun voordeur voor als ze hun normale sleutel kwijt zijn. Je doet het bij digitale dingen op een wat andere manier maar het idee dat dit soort dingen aandacht nodig hebben zou niet compleet exotisch moeten zijn.

Wat in de weg zit dat mensen deze kennis opdoen is dat sinds de jaren '90 software behoorlijk agressief de consumentenmarkt in is gepompt door de illusie te wekken dat het makkelijk is, terwijl het met afstand het ingewikkeldste is dat ooit de huiskamers in is geloodst. Dat is geen goede basis voor de boodschap dat je toch bepaalde dingen zorgvuldig goed moet inrichten. En de boodschap dat het allemaal gedachteloos kan wordt door de marketingafdelingen actief de wereld in geslingerd, daarmee worden mensen opgezocht, terwijl de boodschappen over waar je wel even zorgvuldig over na moet denken wel gepubliceerd wordt maar niet zo actief naar je toe wordt gebracht, die moet je zelf vinden.

De oplossing? Misschien de marketingmensen en andere nutteloze types wijsmaken dat de zon binnenkort gaat ontploffen, en ze op een ruimteschip zetten dat ooit op een heel verre planeet elders in het melkwegstelsel gaat landen. Volgens The Hitch Hiker's Guide to the Galaxy is dat alleen allang gebeurd en zijn wij zelf de afstammelingen van die groep ;-).
25-09-2024, 12:54 door Anoniem
Hoe meet je dat iets 80% voorkomen is?
25-09-2024, 15:22 door Anoniem
Voor een bedrijf is dat geen probleem, maar voor zelfs ervaren gebruikers is het heel vervelend als ze zichzelf buitensluiten van hun Microsoft Account of iets vergelijkbaars
Of gewoon terug gaan naar die cd of dvd en heb je geen account nodig.
25-09-2024, 16:02 door Erik van Straten
Door Anoniem: Hoe meet je dat iets 80% voorkomen is?
Het is een gok. Zoals ook Microsoft zelf, met iets andere woorden, zegt.

Microsoft en andere big tech hebben je nooit verteld dat als je met jouw organisatie de cloud invliegt, je niks meer aan jouw prijzige bedrijfsnetwerkfirewall hebt en dat elke medewerker een SPOF is geworden. Om jou, op korte termijn, niet op nog hogere kosten (in plaats van ongelofelijk veel gedoe met Yubikeys in FIDO2 modus) te jagen, suggereert Microsoft dat jouw users van SMS, TOTP of Number Matching gebruik kunnen maken - zodat niet elke SPOF in phishing trapt (hoeveel SPOF's heb je trouwens? Bij 100 zullen er 100-n niet in evil-proxy-phishing trappen, da's winst!).

Maar als die 80% en onderstaande percentages kloppen, dan gaat het best hard bergafwaarts (persoonlijk denk ik dat het nog veel harder gaat), uit https://azure.microsoft.com/en-us/blog/announcing-mandatory-multi-factor-authentication-for-azure-sign-in/:
Announcing mandatory multi-factor authentication for Azure sign-in
Published Aug 15, 2024
[...]
As recent research [1] by Microsoft shows that multifactor authentication (MFA) can block more than 99.2% of account compromise attacks, making it one of the most effective security measures available, today’s announcement brings us all one step closer toward a more secure future.

Uit [1] = https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RW166lD, een PDF laatst gewijzigd 2023-05-02 (ik heb de volgorde van de auteurs gewijzigd):
How effective is multifactor authentication at deterring cyberattacks?
Alex Weinert, Sergio Romero, Gabriele Bertoli: Microsoft Identity Security; Lucas Augusto Meyer, Juan Lavista Ferres: Al for Good Lab; Tom Burt: Customer Security & Trust
[...]
Our findings reveal that MFA implementation offers outstanding protection, with over 99.99% of MFA-enabled accounts remaining secure during the investigation period. Moreover, MFA reduces the risk of compromise by 99.22% across the entire population and by 98.56% in cases of leaked credentials.
[...]
Methodology and Data
Our goal is to determine the effectiveness of MFA in preventing account compromise in the population of commercial accounts. It is generally not possible for an authentication provider to obtain the exact number of account compromises in a population without resorting to sampling and manual reviews. When users detect an account compromise, they may simply change their passwords and not notify their administrators. Even when the administrators are notified, they may choose not to notify the authentication provider. Therefore, methods that rely on the authentication provider using reported account compromises will result in an undercount of the actual rate. On the other hand, it is cost-prohibitive for an authentication provider that has billions of accounts to manually review all suspected compromises. Therefore, we have to rely on sampling methods.

To achieve our goal, we obtained a list of active Microsoft Azure Active Directory users that had their account reviewed due to suspicious activity between April 22, 2022, and September 22, 2022. Some accounts had MFA configured, and some did not. If the account had suspicious activity and had MFA configured, a challenge was automatically issued. A sample of the sessions was retroactively reviewed by a specialized team that examines account logs and determines whether a compromise occurred or not. If a compromise was detected, the account was sanitized, and the user notified. To estimate the proportion of compromised accounts in the whole population, we use the benchmark multiplier method [14], commonly used in epidemiological research in situations where individuals tend to underreport the actual frequency of an event. The benchmark multiplier method requires two datasets: one, the benchmark, has a complete and accurate count of the event being studied for a subgroup of the population. The other dataset is a representative sample from the population, used to estimate the proportion of the population represented by the benchmark. The reciprocal of that proportion is called the multiplier.
[...]
Alex Weinert (Director of Identity Security at Microsoft) schreef in 2019 in https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/all-your-creds-are-belong-to-us/ba-p/855124:

MFA had failed.

Daarnaast heb je niets aan 2FA/MFA als je risicovolle dingen (moet of wilt) doen op een website waar je überhaupt nog geen account hebt, of wel een account hebt maar nog geen MFA-ondersteuning hebt ingeschakeld.

Voor geïnteresseerden die Engels begrijpen: in https://infosec.exchange/@ErikvanStraten/113124204291514950 beschrijf ik een aantal problemen en oplossingen van 2FA/MFA, en in https://infosec.exchange/@ErikvanStraten/112974991373414022 herhaal ik het e.e.a. van wat ik hierboven schreef, maar vul dat aan met andere problemen.

Of zie https://youtube.com/watch?v=wVyu7NB7W6Y (met o.a. Karsten Nohl) over SS7 aanvallen (meer info in https://infosec.exchange/@ErikvanStraten/113182066906044258).
25-09-2024, 17:44 door Anoniem
Het ligt eraan over welke 2FA methode we het hebbem, SMS is relatief onveilig, soms is een clipboard op een besmette PC niet veilig, phishing links beschermen ook niet mensen die 2FA gebruiken.
Die 20% komt van een verkeerde implementatie, geïnfecteerde PCs of een of andere webbrowser cookie hijacking of iets dergelijks.
Het is niet perfect, maar het is veter dan alleen een wachtwoord aangezien er minder mensen worden gehacked dan mensen die helemaal geen 2FA gebruiken.
26-09-2024, 09:18 door Erik van Straten - Bijgewerkt: 26-09-2024, 09:39
Door Anoniem: Het is niet perfect, maar het is veter dan alleen een wachtwoord aangezien er minder mensen worden gehacked dan mensen die helemaal geen 2FA gebruiken.
MFA/2FA is als peniciline: zie https://www.security.nl/posting/859561/MFA_2FA+is+als+pen8ciline.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.