Tweefactorauthenticatie (2fa) geldt als een van de beste manieren om online-accounts te beveiligen. Nu hackers een manier hebben ontdekt om ook deze methode te kraken – zelfs met gratis tools – is het de vraag hoelang dat nog is. Welke vormen van deze authenticatie lopen risico, zijn er veiligere alternatieven en wat betekent 'wachtwoordloos' hierin?
Onderzoekers kwamen er recentelijk achter dat er al ruim 1.200 hacks zijn uitgevoerd met twee-factorauthenticatie zonder een phishing-aanval te hoeven doen. Hierdoor komt de veiligheid van dagelijkse internetgebruikers verder onder druk te staan. Je leest de belangrijkste conclusies van onderzoekers van de Stony Brook University en Palo Alto Networks in dit rapport, gepubliceerd door The Record. Zij namen het gebruik van een dozijn man-in-the-middle-tools onder de loep. Hierbij plaatsen hackers zichzelf tussen de computer van de gebruiker en de server van de website waarop ingelogd wordt. Het resultaat is dat alle data via de hacker verlopen, inclusief de cookie die door de server verzonden wordt als het 2fa-proces is doorlopen. Die cookie bevat informatie waardoor de website denkt dat de eigenaar van de inloggegevens is ingelogd en zich dus toegang tot het account heeft verschaft.
Uit hetzelfde onderzoek blijkt dat deze manier van hacken sterk in opmars is. Tussen maart 2020 en maart 2021 werden 1.220 gevallen gerapporteerd, terwijl het in 2019 nog maar om tweehonderd gevallen ging. De belangrijkste oorzaak van de toegenomen populariteit is dat de tools gewoon gratis te downloaden zijn. Ook handleidingen en behulpzame hackers zijn eenvoudig te vinden. We kunnen dus niet meer blind vertrouwen op 2fa.
Wildgroei
2fa bestaat doorgaans uit een wachtwoord dat wordt ingevoerd en een code die naar een ander apparaat wordt gestuurd of gegenereerd op basis van een gedeelde sleutel. Pas als de gebruiker die code ook invoert, krijgt hij of zij toegang tot de website. De authenticatiemethode is een wildgroei aan verschillende opties geworden, die dus niet allemaal even veilig blijken te zijn. De bekendste manieren zijn een code via sms of met een token-pincode of een token-dongle. Hoe veilig de 2fa-methode is, hangt af van het middel dat je ervoor gebruikt. De sms-versie lijkt op dit moment het minst veilig, maar is uiteraard nog altijd veiliger dan alleen een wachtwoord gebruiken. Er zijn ook steeds meer hackers die door social engineering nieuwe simkaarten opvragen bij telecombedrijven en zo toegang krijgen tot je telefoonnummer.
Er bestaan ook apps die je op je smartphone kunt installeren waarmee je een privésleutel kunt inlezen die een website je doorgeeft of een qr-code kunt scannen. Voorbeelden hiervan zijn Google Authenticator en Microsoft Authenticator. De apps genereren elke dertig of zestig seconden een nieuwe code die je moet invullen. Dit minimaliseert de kans op onderschepping. Door de gedeelde key weten zowel de website als jouw mobiel op welk tijdstip welke code gebruikt mag worden. Dit heet time-based one-time password, zoals we dat kennen van het inloggen met de DigiD-app.
2fa met een token noemen we multi-factorauthenticatie, omdat de token zelf een extra factor is. En als het gaat om een gecertificeerde token, komt er nog een factor bij. Bij pki-authenticatie wordt er bijvoorbeeld gebruikgemaakt van een certificaat op een usb-token of smartcard, wat wordt gezien als een zeer veilige vorm van authenticatie.
Wachtwoordloze authenticatie
Passwordless authentication (wachtwoordloze authenticatie) is tot slot een authenticatiemethode waarbij het niet nodig is wachtwoorden of andere kennisgeheimen in te voeren – of te onthouden. Het berust op cryptografische sleutels: een privésleutel en een publieke sleutel. De publieke sleutel wordt verstrekt tijdens de registratie bij de authenticatiedienst, ongeacht of dit een externe server, applicatie of website is, en de private sleutel wordt opgeslagen op het apparaat van de gebruiker en kan alleen worden geopend met behulp van biometrische authenticatie, hardwaretokens, of andere wachtwoordloze factoren.
Doorgaans wordt de gebruiker gevraagd zijn openbare identificatiecode in te voeren (gebruikersnaam, mobiel telefoonnummer, e-mailadres of een andere geregistreerde id) en vervolgens het authenticatieproces te voltooien door een veilig identiteitsbewijs te verstrekken in de vorm van een erkende authenticatiefactor. Een groot voordeel ten opzichte van pki-authenticatie is dat je niets extra’s hoeft te onthouden of in handen te hebben. Het is deze manier van authenticatie die weleens de toekomst zou kunnen zijn.