Duitse overheid pleit voor standaard inschakelen van 2FA bij webmail
Aanbieders van webmail zouden standaard tweefactorauthenticatie (2FA) moeten inschakelen en dit niet bij hun gebruikers moeten leggen, zo vindt de Duitse overheid. Op dit moment is de beveiligingsmaatregel bij veel providers nog optioneel, waardoor het ook weinig gebruik wordt. Dat stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, in een vandaag verschenen whitepaper over eisen voor veilige en gebruiksvriendelijke webmail.
Volgens het BSI laten veel webmaildiensten gebruikers inloggen met alleen een gebruikersnaam en wachtwoord. 2FA is vaak optioneel en het is voor gebruikers lastig om dit in te schakelen, aldus de Duitse overheidsdienst. Die liet eerder al onderzoek doen naar het gebruik van 2FA onder internetgebruikers. Van de deelnemers aan het onderzoek gaf slechts 34 procent aan 2FA te gebruiken, waarbij er een dalende trend zichtbaar is ten opzichte van eerdere onderzoeken.
Het BSI vindt dat 2FA dan ook geen optionele instelling zou moeten zijn, maar standaard moet zijn ingeschakeld. Wanneer gebruikers voor het eerst een account registreren zou meteen 2FA moeten worden ingesteld. Daarbij zouden gebruikers wel de mogelijkheid tot opt-out moeten hebben, zo laat de Duitse overheidsdienst verder weten. Tevens pleit het BSI ervoor dat webmaildiensten eenvoudig te gebruiken end-to-end encryptie zouden moeten aanbieden, gebaseerd op open standaarden zoals OpenPGP en S/MIME), en dat er betrouwbare mogelijkheden zijn voor het herstellen van gecompromitteerde accounts.
"Een essentieel onderdeel van e-mailbeveiliging rust nu op de schouders van gebruikers. Van hen wordt verwacht bekend te zijn met tweefactorauthenticatie, passkeys en encryptie. Wij vinden dat die verantwoordelijkheid bij de aanbieders hoort te liggen: Zij moeten efficiënte procedures voor authenticatie, encryptie, spambescherming en accountherstel bieden die zonder al te grote interactie van gebruikers werken en een grote beveiligingsverbetering opleveren. Alleen wanneer beveiligingsmaatregelen begrijpbaar, interoperabel en praktisch voor dagelijks gebruik zijn, kunnen ze volledig effectief zijn", zegt Caroline Krohn van het BSI.
Moet een mail dienst dan ook al mijn telefoonnummer hebben? - wil ik helemaal niet.
Een app? Dan blijft het single factor (nl. de telefoon). Dus dan wordt het een token of een losse calculator ofzo? Alsof dat op gaat schieten...
Daarnaast: mail zou je niet moeten gebruiken voor zaken die je niet op een briefkaart zou zetten. Immers, het is redelijk 'openbaar' (al is het maar bij de mail provider(s)). Als je het voor spannender dingen gebruikt, dan gaat daar reeds wat fout!
Het gaat om mijn eigen email. Mag ik dan zelf de afweging maken welk risico ik neem?
Het gaat om mijn eigen email. Mag ik dan zelf de afweging maken welk risico ik neem?
Misschien moet je alles lezen niet meteen na de titel beginnen met reageren ?
Dus blijkbaar willen ze wel de ruimte laten voor jouw eigen afweging.
Het gaat om mijn eigen email. Mag ik dan zelf de afweging maken welk risico ik neem?
hoewel SMS in het buitenland ontvangen een probleem kan zijn.
Dus als je dan een andere computer moet gebruiken, kan dat een probleem zijn?
Het gaat om mijn eigen email. Mag ik dan zelf de afweging maken welk risico ik neem?
hoewel SMS in het buitenland ontvangen een probleem kan zijn.
Dus als je dan een andere computer moet gebruiken, kan dat een probleem zijn?
Daarentegen, SMS is geen goede 2FA optie... het is gewoon niet veilig genoeg maar altijd nog beter dan niets.
Moet een mail dienst dan ook al mijn telefoonnummer hebben? - wil ik helemaal niet.
Een app? Dan blijft het single factor (nl. de telefoon). Dus dan wordt het een token of een losse calculator ofzo? Alsof dat op gaat schieten...
Daarnaast: mail zou je niet moeten gebruiken voor zaken die je niet op een briefkaart zou zetten. Immers, het is redelijk 'openbaar' (al is het maar bij de mail provider(s)). Als je het voor spannender dingen gebruikt, dan gaat daar reeds wat fout!
Een authenticator of SMS is wel degelijk 2FA. Het gaat erom dat je een gebruikersnaam, wachtwoord en code nodig hebt om uberhaupt iets te kunnen. Jij praat over een scenario waarbij iemand jouw telefoon in handen krijgt. Dan valt die 2e factor inderdaad weg. Maar mijn telefoon komt niemand in ook niet met een brute force. 10 keer een fout wachtwoord invoeren en mijn helemaal telefoon wiped zichzelf.
Het gaat om mijn eigen email. Mag ik dan zelf de afweging maken welk risico ik neem?
hoewel SMS in het buitenland ontvangen een probleem kan zijn.
Dus als je dan een andere computer moet gebruiken, kan dat een probleem zijn?
Daarentegen, SMS is geen goede 2FA optie... het is gewoon niet veilig genoeg maar altijd nog beter dan niets.
- Something the user has: Any physical object in the possession of the user, such as a security token (USB stick), a bank card, a key, a phone that can be reached at a certain number, etc.
- Something the user knows: Certain knowledge only known to the user, such as a password, PIN, PUK, etc.
- Something the user is: Some physical characteristic of the user (biometrics), such as a fingerprint, eye iris, voice, typing speed, pattern in key press intervals, etc.
Bronnen:
https://en.wikipedia.org/wiki/Multi-factor_authentication#Authentication_factors
https://cheatsheetseries.owasp.org/cheatsheets/Multifactor_Authentication_Cheat_Sheet.html
Dan zou je tenminste bijvoorbeeld ook hun VPN wel op je telefoon kunnen/durven gebruiken. (matig voorbeeld, VPN is natuurlijk al in gebruik voor een firewall, dat heet dan een smartphone)
En al helemaal niet als je een tweede factor gebruikt omdat de eerste "12345" of "Welkom1!" (*) is.
(*) IJzersterk (NOT) want >= 8 tekens met >= 1 hoofdletter, >= 1 kleine letter, >= 1 cijfer, >= 1 leesteken en geen enkel hergebruikt karakter (dus ook geen twee dezelfde naast elkaar).
Zélfs als alles goed gaat wordt het na inloggen 1FA (middels één session cookie o.i.d.).
Whoopsiedaisy, uit https://jeugdjournaal.nl/artikel/2296540-de-populairste-wachtwoorden-123456-welkom-en-feyenoord:
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?