Privacy
- Wat niemand over je mag weten
Tweestaps verificatie zonder mobiele telefoon
17-07-2014, 22:11 door Anoniem, 16 reacties
De meeste vormen van tweestaps verificatie maken gebruik van een mobiele telefoon. Dat is onveilig omdat het mobiele nummer een persoonsgegeven is geworden, vergelijkbaar met het BSN.
Weet iemand of hier alternatieven voor zijn?
Weet iemand of hier alternatieven voor zijn?
Reacties (16)
Tweestaps verificatie is veiliger omdat er een extra controle wordt gedaan of jij het echt bent, het idee is dat jij de eigenaar van die telefoon bent en dus de enige bent die (op dat moment) die sms kan lezen en de extra code kan weten. Het gaat er dus inderdaad om dat iets wat uniek voor jouw is wordt gebruikt. De vraag is of de betreffende site jouw nummer ook blijvend opslaat en ik denk dat het risico wat jij ziet is dat jouw nummer dan zou kunnen lekken als die site wordt gehacked? Maar welke methode je ook kiest, het zal om goed te kunnen werken altijd nog steeds iets unieks van jouw moeten zijn. Een ander voorbeeld is je huisadres, dat ze daar per post een code naartoe sturen, digid maakte daar ook gebruik van, het was geen onverdeeld succes.
2 staps verificatie draait om "kennis en bezit".. Meestal een wachtwoord, en bv een digipass om te telebankieren, of bv gebruikerscode, pincode en token code van een token die je in je bezit hebt en elke 10 seconden een nieuwe code genereert.
Deze tweede is (als je het zelf wilt implementeren) een betaalde service; je legt een database aan met tokens, koppelt deze aan een persoon en (in ons geval) betaal je behoorlijk voor het "onderhoud" , of per gebruiker een jaarlijks bedrag.
Wij gebruiken Vasco, maar er zijn er natuurlijk meer.
Een andere optie is fingerprints; ook dat is kennis (wachtwoord) en bezit (vinger) .
Ook zijn er toetsenborden met een ingebouwde kaartlezer; trek je de kaart eruit gaat de computer op slot (dit werd geïmplementeerd op het moment dat ik wegging bij de *****bank, geen idee of het werkelijkheid is geworden).
Het hangt helemaal af wat je precies wilt; is het persoonlijk, voor een bedrijf? Als het voor een bedrijf is, laat je dan adviseren door een deskundige !
Deze tweede is (als je het zelf wilt implementeren) een betaalde service; je legt een database aan met tokens, koppelt deze aan een persoon en (in ons geval) betaal je behoorlijk voor het "onderhoud" , of per gebruiker een jaarlijks bedrag.
Wij gebruiken Vasco, maar er zijn er natuurlijk meer.
Een andere optie is fingerprints; ook dat is kennis (wachtwoord) en bezit (vinger) .
Ook zijn er toetsenborden met een ingebouwde kaartlezer; trek je de kaart eruit gaat de computer op slot (dit werd geïmplementeerd op het moment dat ik wegging bij de *****bank, geen idee of het werkelijkheid is geworden).
Het hangt helemaal af wat je precies wilt; is het persoonlijk, voor een bedrijf? Als het voor een bedrijf is, laat je dan adviseren door een deskundige !
Banken zoals ABN AMRO (e.dentifier) en Rabobank (Random Reader) hebben daar een apart apparaatje voor. En misschien kun je ook eenmalige codes per post versturen. (Bijvoorbeeld een papieren lijst met codes die allemaal maar één keer gebruikt kunnen worden.
Door NedFox:
Deze tweede is (als je het zelf wilt implementeren) een betaalde service; je legt een database aan met tokens, koppelt deze aan een persoon en (in ons geval) betaal je behoorlijk voor het "onderhoud" , of per gebruiker een jaarlijks bedrag.
Wij gebruiken Vasco, maar er zijn er natuurlijk meer.
Deze tweede is (als je het zelf wilt implementeren) een betaalde service; je legt een database aan met tokens, koppelt deze aan een persoon en (in ons geval) betaal je behoorlijk voor het "onderhoud" , of per gebruiker een jaarlijks bedrag.
Wij gebruiken Vasco, maar er zijn er natuurlijk meer.
Ja dat is een beetje het probleem met Vasco. Wij gebruiken dat ook maar ik heb gemerkt dat de hoge eenmalige en
behoorlijk hoge jaarlijkse kosten een (al dan niet terechte) drempel vormen bij het uitreiken van de tokens.
Er is toch altijd weer die afweging "gaan we deze persoon een token geven of moet ie maar gewoon 1-factor werken".
Ik denk dat het achteraf een slechte keuze was. Er zijn veel goedkopere tokens die bovendien geen dure software
(zowel in aanschaf als "onderhoud") vereisen. Daar ben je overall beter mee af denk ik, want dan kun je gewoon iedereen
zo'n token geven en het ook gebruiken voor login op werkstations binnen het bedrijf, toegang tot de webmail, e.d.
Maar inderdaad, deze tokens zijn een prima oplossing om 2-factor in te loggen en het mobiele nummer heb je er helemaal
niet bij nodig (ook niet als de token als app op de telefoon geinstalleerd wordt). Er is geen communicatie via het
mobiele netwerk, dus ook niet de daarvoor benodigde infrastructuur en kosten.
Ik ben toch wel even heel benieuwd wat je bedoeld met:
"Dat is onveilig omdat het mobiele nummer een persoonsgegeven is geworden"
Waarom zou dat onveilig zijn? En waarom zou het deze vorm van authenticatie onveiliger maken?
"Dat is onveilig omdat het mobiele nummer een persoonsgegeven is geworden"
Waarom zou dat onveilig zijn? En waarom zou het deze vorm van authenticatie onveiliger maken?
Door Anoniem:Dat is onveilig omdat het mobiele nummer een persoonsgegeven is geworden,
??? die snap ik helemaal niet. Het doel van 2-traps verificatie is om te dubbel-checken dat je met de juiste persoon communiceert. Als dan je mobiel 'een persoon' is geworden, dan heb je toch juist meer zekerheid dat je de code naar de goede persoon stuurt!
Overigens zie ik zo gauw geen alternatieve 'onafhankelijke' lijn met de gebruiker. Het enige alternatief is de post. Dat wordt nu ook wel gebruikt, maar snel is anders.
Koop anders een aparte prepaid foon, zodat het niet meer persoonsgebonden is in de vorm die jij bedoelt.
Nog even toevoegend aan voorgaande wat ik poste:
Overigens bedoelt de topic starter niet zo zeer dat de authenticatie minder veilig is, maar meer dat je je persoonlijke nummer moet delen met een derde partij. Zou ik ook niet willen.
Overigens bedoelt de topic starter niet zo zeer dat de authenticatie minder veilig is, maar meer dat je je persoonlijke nummer moet delen met een derde partij. Zou ik ook niet willen.
1 factor authenticatie: iets wat je weet (wachtwoord)
2 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon)
3 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon), en iets wat je bent (vingerafdruk, irisscan, dna profiel)
2 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon)
3 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon), en iets wat je bent (vingerafdruk, irisscan, dna profiel)
4 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon), en iets wat je bent (vingerafdruk, irisscan, dna profiel), daar waar je bent (locatie)
Locatie is al toegepast bij b.v. gmail en Facebook.
Locatie is al toegepast bij b.v. gmail en Facebook.
Meerfactor authenticatie is vervelend als je er persoonsgegevens zoals mobiel nummer, vingerafdruk, enz. voor moet gebruiken. Zo'n token lijkt me prettiger. Misschien dat een "token" achtig product ruimer verspreid kan worden.
Door Anoniem: 1 factor authenticatie: iets wat je weet (wachtwoord)
2 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon)
3 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon), en iets wat je bent (vingerafdruk, irisscan, dna profiel)
2 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon)
3 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon), en iets wat je bent (vingerafdruk, irisscan, dna profiel)
1/2/3/ factor authenticatie zegt alleen iets over de hoeveelheid verschillende authenticatie middelen, niet welk type je gebruikt.
Je kan een 1-factor doen met alleen een token. of alleen eem sms-je, etc, etc.
Je hebt verschillende alternatieven om two-factor te regelen zonder mobiele telefoon. De belangrijkste spelers zijn RSA en Yubikey, waarbij Yubikey de goedkoopste is.
Ik vertik het dus consequent om bedrijven, instellingen waar ik geen telefonisch contact mee wens mijn telefoonnummer te geven. Gaat ze geen donder aan en als ik van nummer verander, dan krijg je het gejank weer dat ze niet op de hoogte gesteld zijn. Kortom: 2-factor identificatie is prima. Maar met een telefoon een absolute no-go. En ja, dat heeft oa. een bank een een verzekeraar reeds een paar klanten gekost.
Door Anoniem: 1 factor authenticatie: iets wat je weet (wachtwoord)
2 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon)
3 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon), en iets wat je bent (vingerafdruk, irisscan, dna profiel)
2 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon)
3 factor authenticatie: iets wat je weet, (wachtwoord) en iets wat je hebt (token, telefoon), en iets wat je bent (vingerafdruk, irisscan, dna profiel)
In feite kan 2 factor authenticatie iedere combinatie van twee zaken zijn. Je kunt ook 2-factor toepassen met iets wat je hebt en iets waar je bent. Waarbij "waar je bent" op allerlei manieren uitgelegd kan worden. Dat kan op basis van GPS zijn, maar ook of je in een bepaald netwerk zit.
Peter
24-07-2014, 10:39 door
Mozes.Kriebel
Door Anoniem: Ik vertik het dus consequent om bedrijven, instellingen waar ik geen telefonisch contact mee wens mijn telefoonnummer te geven. Gaat ze geen donder aan en als ik van nummer verander, dan krijg je het gejank weer dat ze niet op de hoogte gesteld zijn. Kortom: 2-factor identificatie is prima. Maar met een telefoon een absolute no-go. En ja, dat heeft oa. een bank een een verzekeraar reeds een paar klanten gekost.
Amen. Ik wil ook geen telefoon als authenticatie factor, omdat ik bepaalde partijen niet mijn telefoonnummer wil geven.Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.