Allerlei diensten bieden tegenwoordig multifactorauthenticatie aan, maar in de praktijk blijkt dat de meeste gebruikers hier geen gebruik van maken. En dat kan een probleem zijn wanneer het account wordt gekaapt. Wanneer een aanvaller voor een gekaapt account multifactorauthenticatie inschakelt maakt dit het veel lastiger voor de oorspronkelijke eigenaar om het account terug te krijgen, zo meldt it-journalist Brian Krebs.

Krebs werd getipt over een incident waarbij een Xbox-account door een aanvaller was overgenomen, die vervolgens multifactorauthenticatie voor het account inschakelde. Hierdoor kon de oorspronkelijke eigenaar niet het wachtwoord resetten zonder toestemming van de aanvaller. De gebruiker nam contact op met Microsoft en kreeg een lijst met allerlei vragen teruggestuurd om te beantwoorden. Zo zou de gebruikers kunnen aantonen de legitieme eigenaar van het account te zijn.

Ondanks het beantwoorden van de vragen werd het accountwachtwoord toch niet gereset. Uiteindelijk werd het incident naar een andere supportafdeling ge√ęscaleerd. Daar werd de gebruiker geholpen bij het aanmaken van een nieuw Microsoftaccount waar het Xbox-profiel aan werd gekoppeld. "Het niet inschakelen van multifactorauthenticatie wanneer het wordt aangeboden is een veel groter risico voor mensen die op meerdere websites hun wachtwoorden hergebruiken", aldus Krebs.

Twee jaar geleden liet onderzoek van Google zien dat minder dan tien procent van de Gmail-gebruikers tweefactorauthenticatie had ingeschakeld. Volgens onderzoekers van Indiana University komt dit niet doordat mensen het beveiligen van hun account niet belangrijk vinden of niet de extra moeite willen nemen, maar omdat de risico's niet goed worden gecommuniceerd. Gebruikers krijgen niet duidelijk uitgelegd waarom de extra beveiligingslaag nodig is. Daarnaast is het ook belangrijk dat ontwikkelaars naar de gebruiksvriendelijkheid voor het inschakelen en gebruiken van tweefactorauthenticatie kijken.