"One-time wachtwoorden niet zonder risico"
One-time wachtwoorden worden steeds populairder, maar het gebruik is niet zonder risico waarschuwen beveiligingsexperts. Wordt de technologie niet verstandig uitgerold, dan kan het bedrijven kwetsbaarder maken dan als ze geen one-time wachtwoorden zouden gebruiken. Als voorbeeld geven experts de oplossing die Facebook laatst aankondigde. Door 'otp' naar een nummer te sms'en, ontvangt men een eenmalig wachtwoord dat twintig minuten geldig is om in te loggen.
"Je kunt zeggen dat de optie van Facebook je account minder veilig maakt. Als je van je computer wegloopt of je telefoon niet vergrendelt als je bent ingelogd, kan ik je account benaderen en het telefoonnummer in die van mij veranderen", zegt Chet Wisniewski van Sophos. Hij merkt op dat de meeste mensen hun telefoon niet met een wachtwoord beveiligen.
Ook volgens Rachael Stockton van RSA zijn niet alle one-time wachtwoorden gelijk. "Sommige methoden zijn veiliger dan andere. Sms is eenvoudiger te kraken dan sommige andere authenticatiemethoden. Hardware en software one-time wachtwoorden worden over het algemeen gezien als sterker dan via sms geleverde wachtwoorden, maar het moet altijd onderdeel van een gelaagde aanpak zijn, waaronder risico-gebaseerde authenticatie."
Telefoon
Sms mag dan voor sommigen makkelijk zijn, dat is het niet als de telefoon niet in de buurt is. Ook moeten bedrijven rekening houden met de verschillende applicaties die ze moeten ondersteunen, zowel nu als in de toekomst. Ongeacht welke one-time oplossing bedrijven kiezen, blijft het slechts een onderdeel voor het beveiligen van machines en accounts.
Wisniewski benadrukt dat one-time wachtwoorden geen wondermiddel zijn. "Multi-factor authenticatie is een fantastische manier om computers te beveiligen en toegang tot remote netwerken te beveiligen. Het lost niet alle problemen op, maar het is de oplossing voor het probleem van het bruteforcen en uitwisselen van wachtwoorden." Als de computer in kwestie met malware is besmet, biedt ook multi-factor authenticatie geen bescherming, zo besluit hij.
Goddorie, taalmongolen! Lees je wrochtsels toch eens na voor je ze plaatst. Of laat ze nalezen door iemand die het Nederlands wel beheerst.
Als iemand zoveel interesse heeft in jou zou je niet eens een facebook account moeten hebben. Dat soort apparatuur is misschien wel relatief goedkoop (een paar honderd euro?) maar wie gaat zich nou specialiseren in GSM communicatie en afluisterapparatuur daarvoor om een facebook account te kraken?
Grote kans dat de informatie die daar op staat toch gewoon publiek is..
quote
"Je kunt zeggen dat de optie van Facebook je account minder veilig maakt. Als je van je computer wegloopt of je telefoon niet vergrendelt als je bent ingelogd, kan ik je account benaderen en het telefoonnummer in die van mij veranderen", zegt Chet Wisniewski van Sophos.
unquote
dit geld altijd. Of je nu ingelogt bent met statisch wachtwoord of ingelogt bent met een one time password. In beide gevallen kun je weglopen van je pc en ingelogt blijven en kan je account dus gebruikt worden door iemand anders die bij je pc kan. SMS authenticatie in dit geval maakt het dus niet minder veilig. Het is wel veiliger, in mijn optiek zijn een combinatie van gebruikersnaam en eenmalige wachtwoorden ipv gebruikersnaam en statisch wachtwoord veiliger.
Zowiezo zijn de opmerkingen van Wisniewski een beetje gericht op het verkopen van zijn Sophos oplossingen lijkt wel en hebben weinig inhoudelijk toegevoegd aan het topic sterke authenticatie.
Zowiezo is een nuance van dit bericht wel op zijn plaats. Zoals ik dit bericht lees is het ook niet heel snel goed wat bedrijven doen om het inloggen te beschermen.
Het is een goede aktie van Facebook om OTP (eenmalige wachtwoorden) te gebruiken ipv statische wachtwoorden, dit maakt het veel veiliger immers statische wachtwoorden zijn makkelijk te hacken/cracken/raden/vinden etc en OTP's niet.
Dus een enorme stap voorwaarts.
Dat gebruikers een verantwoordlijkheid daarnaast hebben om de account te beschermen staat als een paal boven water.
Dat SMS authenticatie niet "the bomb" is zoals veel mensen nu denken (hype) is waar, er kleven nadelen aan. (kosten, onderscheppen, vindbaarheid van de SMS OTP etc) echter bied het een veel sterkere manier van inloggen dan een statisch wachtwoord dus in veel gevallen een schitterende oplossing.
grtn
-Rob
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.