De kracht van two factor authentication
Een simpele beveiliging op basis van een wachtwoord voor uw software, e-mail of bestanden wordt vaak al onvoldoende gevonden. De maatschappij is in toenemende mate bewust van privacyrisico’s en het delen van persoonlijke gegevens gebeurt enkel aan partijen die aantoonbaar voldoen aan de regels rondom informatiebeveiliging. Two factor authentication, ofwel twee factor authenticatie (2FA), kan uw organisatie helpen bij de beveiliging van gegevens en software.
Natuurlijk is het toepassen van een twee factor authenticatie geen wondermiddel waardoor alle problemen direct de wereld uit worden geholpen. Toch geeft deze vorm van beveiliging een goede start om informatiebeveiliging op orde te hebben.
Maar wat is twee factor authenticatie eigenlijk? En hoe kan dit uw organisatie helpen als het gaat om informatiebeveiliging? In dit blogartikel staan wij stil bij de volgende onderwerpen:
Zwakte van standaard authenticatie
Wat is two factor authentication?
Wat is de kracht?
Zwakte van standaard authenticatie
Het geven van toegang binnen een applicatie of bepaalde software op basis van een gebruikersnaam en wachtwoord is redelijk standaard. Veel organisaties maken hier gebruik van. Toch brengt dit de nodige risico’s met zich mee. Een gebruikersnaam en wachtwoord worden niet snel veranderd. Werknemers behouden meestal hun gehele arbeidsperiode dezelfde gebruikersnaam. Het wachtwoord wordt in sommige gevallen pas na een lange periode aangepast, of zelfs helemaal niet.
Dat betekent dat een hacker lang de tijd heeft om het wachtwoord te kunnen achterhalen. Dit kan hij bijvoorbeeld doen met behulp van de volgende technieken:
Brute force: Hierbij gebruikt een hacker rekenkracht om wachtwoorden te ‘raden’. Bij brute force wordt er geen gebruik gemaakt van algoritmen of heuristieken om de berekening te versnellen. De methode bestaat uit het ‘domweg’ proberen van alle mogelijke opties, net zo lang tot er één gevonden is die overeenkomt met de gewenste invoer.
Phishing: De hacker maakt een nepwebsite waardoor het lijkt alsof hij een bepaalde applicatie of software is. In werkelijkheid is dit niet het geval en heeft de hacker de applicatie ‘nagemaakt’ om zo achter de gebruikersnaam en wachtwoord te komen van de gebruiker.
Social engineering: Bij deze techniek maakt de hacker gebruik van de mens zelf om het wachtwoord te achterhalen. Door middel van trucjes probeert de hacker achter het wachtwoord van de gebruiker te komen. Deze trucjes spelen in op de nieuwsgierigheid van de mens, het opwekken van medelijden of het bangmaken van de gebruiker.
Natuurlijk kan een organisatie zijn personeel vragen om hun wachtwoord regelmatig te vernieuwen of stimuleren om hele lange en moeilijke wachtwoorden te gebruiken. Uiteraard hebben beide ‘oplossingen’ zo hun nadelen...
Wat is two factor authentication?
Wanneer een organisatie een verbetering van de standaard authenticatie wilt, kiezen zij vaak voor twee factor authenticatie. Dit betekent dat er een extra factor wordt toegevoegd die persoons- tijds-, plaats- of device gebonden. Bij twee factor authenticatie kan de extra factor variërend zijn, wat de beveiliging flink sterker maakt. Daarnaast kunnen deze extra factoren ook nog eens gecombineerd worden. Dit noemt men dan multi-factor authenticatie (MFA).
Voorbeelden van twee factor authenticatie
Een 6-cijferige code die elke 30 seconden verandert en alleen voor de gebruiker zichtbaar is via een separaat device (token, smartphone, et cetera).
Een vereiste vingerafdruk.
Een code die via SMS wordt verstuurd en na de eerste inlog ingevoerd dient te worden.
Wat is de kracht?
De reden dat de beveiliging door het toepassen van een twee factor authentication sterk toeneemt, is omdat de hacker nu niet genoeg heeft aan alleen de gebruikersnaam en het wachtwoord. Daarnaast heeft een hacker beperkte tijd om die extra factor ‘te raden’, gezien deze continu veranderen of beperkt geldig zijn.
Dit geldt uiteraard niet wanneer een hacker toegang heeft tot deze extra ‘factor’. Dit kan bijvoorbeeld zijn wanneer de hacker een smartphone heeft ontvreemd. Desondanks zal de gebruiker het missen van zijn smartphone vrij vlot doorhebben, waar het hacken van de gebruikersnaam en/of wachtwoord ongemerkt plaats kan vinden. De impact van een inbreuk is dus beperkter.
Een ander voordeel is dat gebruikers hun wachtwoord minder vaak hoeven te vernieuwen en deze minder moeilijk hoeft te zijn - hoewel daar niet te gemakkelijk over gedacht moet worden.
Uw informatiebeveiliging op orde
Two factor authentication is een mooie oplossing om uw informatiebeveiliging te verbeteren. Toch is dit niet zaligmakend. Ook hierbij is de kans dat het misgaat altijd aanwezig. Gebruikers hebben een verantwoordelijkheid om het een en ander goed beschermd te houden.
Door: Berend Tel, Axxemble