Security Tip van de Week: gebruik 2-factor authenticatie
In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.
Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.
Deze week de tip van Michael van der Vaart
Stel 2-factor authenticatie in
2-factor authenticatie bij het inlogproces wordt in steeds meer situaties toegepast. Google, Apple, Dropbox en Facebook bieden deze mogelijkheid voor hun gebruikers en zo zullen er meer volgen. Ook in de bedrijfsomgeving wordt 2-factor authenticatie steeds vaker gebruikt. Zo zijn wij zelf overgestapt naar een 2-factor softtoken systeem (dmv smartphone app) voor onze virtuele werkplekken en is de toegang tot het bedrijfsnetwerk via VPN op dezelfde manier beveiligd.
Wachtwoorden geven toegang tot steeds meer gegevens en controle. Accounts op webshops en app stores waar standaard een creditcard aan gekoppeld is, sociale netwerken, bestanden en e-mail. Hierbij is het wachtwoord is de enige bescherming om toegang te controleren. Het probleem is dat alleen een wachtwoord een relatief zwak beveiligingsmechanisme kan zijn.
Gebruikers hebben vaak zwakke wachtwoorden die voor meerdere accounts worden gebruikt en geven deze vaak gemakkelijk weg. Als social engineering geen vruchten afwerpt, is het plaatsen van een eenvoudige keylogger voldoende om de magische tekens op te vangen. En als je zelf denkt een sterk wachtwoord te hebben gekozen, komt het ook nog weleens voor een website wordt gehackt en jouw wachtwoord mogelijk alsnog op straat komt te liggen.
Banken en de overheid (DigiD) maken daarom al lange tijd gebruik van 2-factor authenticatie. Dit systeem vereist dat de gebruiker niet alleen iets weet (het wachtwoord) maar ook iets heeft (de 2e factor). Deze tokens (codes) zijn uniek, eenmalig te gebruiken en slechts een beperkte tijd houdbaar. Sommige banken sturen een 2e token per SMS evenals bij DigiD. Andere banken vereisen dat er een los apparaat wordt gebruikt om de 2e token te genereren voordat er een betaling gedaan kan worden.
Met alle informatie die wij opslaan in de digitale wereld, is het verstandig om, waar mogelijk deze informatie op de meest veilige manier te beveiligen. 2-factor authenticatie biedt een verbeterde en meer persoonlijke authenticatievorm. Het wordt door steeds meer online services aangeboden en is de meest verstandige keuze. Zo heeft Apple onlangs ook 2-factor authenticatie voor Nederland ingeschakeld, waardoor iTunes en App Store aankopen worden gekoppeld aan unieke devices. (zie Apple voor meer informatie en het inschakelen van deze dienst).
Voor gebruikers met een Google Account is het heel eenvoudig om 2-factor authenticatie in te schakelen. Na het inschakelen van 2FA moet de gebruiker behalve zijn of haar wachtwoord ook een token invoeren. Deze komt binnen via een app op de smartphone, een SMS of telefoonoproep. Dit gaat verder dan Gmail- het is op veel sites en diensten mogelijk om in te loggen met een Google account. (zie Google voor meer informatie en het inschakelen van deze dienst).
Dropbox, de meest populaire online storage biedt gelukkig ook ondersteuning voor 2FA, hiervoor kan gebruik worden gemaakt van het systeem van Google of gekozen worden uit alternatieven. (zie Dropbox voor meer informatie).
Tot slot is het ook mogelijk om Facebook via 2FA te beveiligen. Omdat Facebook door veel mensen continue in gebruik is zou per-sessie 2FA erg gebruiksonvriendelijk zijn. In plaats daarvan autoriseren gebruikers een systeem als ze zich er voor de eerste keer op aanmelden via een code die per SMS wordt ontvangen, iets dat Facebook “Aanmeldgoedkeuringen” heeft gedoopt wat is terug te vinden onder Instellingen > Beveiligingsinstellingen > Aanmeldgoedkeuringen. (zie Facebook voor meer informatie).
Het kan natuurlijk voorkomen dat het niet langer mogelijk is voor een gebruiker om de 2e factor in te zetten, bijvoorbeeld als je mobiele telefoon of token is gestolen. Voor dit soort gevallen worden er bij sommige 2FA systemen een eenmalig te gebruiken, langere noodcode aangemaakt die de gebruiker op een veilige plaats dient te bewaren. Elk 2FA systeem kan een eigen nood of herstelsysteem hebben, dus let hier goed op.
Informatie wordt steeds toegankelijker en op verschillende plekken opgeslagen, laten we deze allemaal op de beste manier beveiligen. 2-factor authenticatie is weer een stap in de goede richting.
Michael van der Vaart is technical information manager bij security expert SpicyLemon.
Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
Hoezo? Je kan toch ook prima een authenticator of iets dergelijks gebruiken. Een mobiele telefoon is geen verplichting.
In theorie heb je gelijk dat sterke wachtwoorden ook helpen, de praktijk blijkt anders te zijn.
Hiermee omzeil je ook keyloggers die je sterke wachtwoord achterhalen en daarmee verder altijd kunnen inloggen. Door een telkens wijzigend wachtwoord per login sessie (te genereren door een token bv) voorkom je dat en daar het automagisch gegenereerd wordt hoef je ook geen moeilijke lange sterke wachtwoorden te onthouden. Nadeel kan wel zijn dat de systemen waar je bij inlogt dit allemaal wel moeten ondersteunen. Dat is lang niet altijd mogelijk.
Een escape is, zoals eerder vermeld, een wachtwoord kluis waar je sterke wachtwoorden in opslaat voor de diverse accounts. Toegang tot die kluis kan dan weer wel met een 2FA OTP, zodat eea toch weer veiliger is.
Een voorbeeld van een goed en goedkoop 2FA OTP token is de ook al genoemde YubiKey met indien gewenst bv LastPass als password vault. Aardige van YubiKey is dat er veel open source software beschikbaar is om eea zelf mee op te zetten oa. VPN / Radius toegang. Tevens biedt YubiKey ook de mogelijkheid om sterke wachtwoorden in op te slaan als je die toch wilt gebruikten.
De beveiliging van de banken met zo'n soort zakjapannetjer dat zo'n korte tijd geldige sleutel genereert is wel het veiligste. Yahoo heeft ook een elegante oplossing, waarbij je eenmalig een code genereert zodat je kan zien of je voldoende veilig bent aangemeld en je account niet is gehackt.
Kortom, het prijsgeven van privé-informatie als e-mail, postcode, BSN (heb ik niet meer!) of vergelijkbare, verblijfslandsafhankelijke gegevens aan mogelijk louche figuren en/of webstekken zoveel mogelijk achterwege laten en verzoeken daartoe als het even kan negeren, Zo heb ik hier en daar niet alleen verschillende wachtwoorden, maar ook aanmeldnamen, -nummers enz. wijken, soms heel subtiel, af.
Deze nieuwe gadget van Facebook, Google+, Hyves, NetLog, Tumblr, Twitter, Viadeo enz., enz. geeft een soort schijnveiligheidsgevoel dat me letterlijk gestolen kan worden, maar wie het proberen wil, mag natuurlijk altijd. De meesten wonen in een vrije wereld, gelukkig. Helaas zijn er nog wat uitzonderingen die ik liever niet noem, maar jullie allen weten vast wel, welke duistere staten met nog schimmiger "regeringen" ik bedoel.
Tenslotte: Wat is Yubikey en welk bedrijf zit erachter. Klinkt aardig, maar de "uitleg" vind ik (nog?) niet voldoende helder, ben waarschijnlijk een tikkeltje te oud voor dit nieuwe aardigheidje ;-)
http://www.onemorething.nl/2013/05/uitrol-tweestapsverificatie-apple-id-vertraagd/
En wat als het account gehackt word, en de hacker verandert het nummer in dit van zijn nummer. Hoe gebeurt de bevestiging? Krijgt de gebruiker een bericht op zijn nummer om de wijziging van nummer te bevestigen, of komt het bericht om te bevestigen op het nummer van de hacker?
En om nou derde partijen mijn toegang te laten "beheren", voor je het weet doen ze een facebookje en gaan ze uitvogelen wie toegang heeft of welke accounts, en daar relaties uit distilleren en zo verder. Dat soort informatie hoef ik nou ook weer niet zo nodig gedwongen te mogen lekken. Lijkt me ook niet echt noodzaak toe.
Echter een nadeel vind ik dat je van iedere app een autheticatie app of sms krijgt. en gebruiksgemak is af en toe ver te zoeken. Bij google heb ik eerst 11 schermen doorlopen voordat ik het operationeel had.
zelf gebruik ik sinds kort www.mydigipass.com van Vasco. ( doen ook de readers van onze banken)
hier kan ik al mijn wachtwoorden kwijt in een launchpad kwijt en sommige applicaties geven mij de mogelijkheid om veilig in te loggen.Het is gratis, secure en ik heb een secure single sign-on platform wat mij persoonlijk veel gebruiksgemak levert.
Tevens kan ik nu snel een account aanmaken bij de aangesloten secure applicaties en bepaal ik zelf wie mijn gegevens krijg.
Hier even een kort fimpje met de uitleg: http://www.youtube.com/watch?v=LUYBpTfZnW0
En wat als het account gehackt word, en de hacker verandert het nummer in dit van zijn nummer. Hoe gebeurt de bevestiging? Krijgt de gebruiker een bericht op zijn nummer om de wijziging van nummer te bevestigen, of komt het bericht om te bevestigen op het nummer van de hacker?
Zie: https://www.digid.nl/vraag-en-antwoord/?nodeid=1949
De telefoon kan (tijdelijk) gestolen worden, of SIM kaart gecloned, of malware dat SMS onderschept en doorstuurd, etc.
What's next?
Vingerafdrukken?
Irisscans?
Stemherkenning?
Ook dit kan vroeg of laat onderschept worden en dan is het hek helemaal van de dam natuurlijk, als men je stem heeft opgevangen, of irisscan of fingerprint.
Wat wél (mede) helpt is (en ik heb dat al diverse malen geopperd) de celstraffen voor computercriminaliteit drastisch te verhogen, en uiteraard de pakkans ook drastisch te verhogen, want de laatste 3 jaar word er zo gigantisch veel computercriminaliteit gepleegd en her en der eens een aanhoudinkje, de nozem word dan veroordeeld voor een maandje of 6 terwijl de opbrengst (crimineel verkregen winst) en de schade voor slachtoffers EN maatschappij gigantisch is.
Waanzin natuurlijk, gewoon minimum straffen op zetten aangezien de wereld en economie steeds meer afhankelijk wordt van computers, internet en netwerken.
Begin eens met een minimum celstraf van 10 jaar (6,5 jaar netto zitten) voor de (relatief) wat "lichtere" computercriminaliteit, oplopend tot ??????
Uiteraard de staat ervoor laten zorgdragen dat eventuele schadeclaims op de daders verhaald worden, levenslang plukken dat tuig.
Niet betalen? Dan aanhouden en weer vastzetten.
Net zolang totdat ze betaald hebben.
Minimumstraffen zijn eerder een terugslag tegen rechters die "skaamtekoeltoer" aanhalen om misdoeners met vanalles weg te laten komen (nou, ga je dan maar schamen in de bak, denk ik dan, maar een weekje schoffelen voor moord vindt de rechter ook wel best en nu huilen de cipiers dat de gevangenis leegstaat), maar wat mij betreft nou niet erg juist, of zelfs maar doordacht, qua oplossing.
Uiteraard de staat ervoor laten zorgdragen dat eventuele schadeclaims op de daders verhaald worden, levenslang plukken dat tuig.
Niet betalen? Dan aanhouden en weer vastzetten.
Net zolang totdat ze betaald hebben.
Juistem, criminaliteit. Want van tomaten plukken alleen al rondkomen is nog geen sinecure.
Ik denk dat je hier beter nog maar eens over kan proberen na te denken als je sober bent.
Is het mogelijk om 1 dropbox account te hebben en deze met 2 verschillende telefoons (nummers) te benaderen via two step verification??
Ik kan dit namelijk nergens vinden of dit wel of niet mogelijk is.
Alvast bedankt voor de moeite.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.