image

NCSC: inloggen met wachtwoord meest onveilige vorm van authenticatie

maandag 25 april 2022, 12:10 door Redactie, 14 reacties

Het inloggen met een gebruikersnaam en wachtwoord is de meest onveilige vorm van authenticatie. Organisaties die hun accounts beter willen beschermen doen er dan ook verstandig aan om sterkere authenticatiemethoden te kiezen, zoals tweefactorauthenticatie (2FA) en de FIDO2-standaard van de FIDO Alliance. Dat stelt het Nationaal Cyber Security Centrum (NCSC) in een nieuwe factsheet genaamd "Volwassen authentiseren".

Volgens het NCSC zijn accounts met verhoogde rechten binnen een systeem, zoals beheerdersaccounts, steeds vaker het doelwit van aanvallen. "Gezien deze ontwikkeling is het extra belangrijk om accounts op een gepaste manier te beveiligen. Het Cybersecuritybeeld Nederland 2021 onderschrijft het belang van goede authenticatie en laat zien dat het dreigingsniveau voor zwakke authenticatie hoog is", zo waarschuwt de overheidsdienst. Die adviseert dan ook sterkere authenticatiemethodes zoals 2FA.

Niet alle vormen van 2FA zijn hetzelfde. Zo laat de factsheet weten dat tweefactorauthenticatie waarbij gebruik wordt gemaakt van een sms of e-mail de minst veilige 2FA-vorm zijn. Een aanvaller zou de via e-mail of sms verstuurde inlogcodes namelijk kunnen onderscheppen. Het gebruik van biometrische gegevens als tweede veiligheidslaag is minder gevoelig voor een dergelijke aanval, maar is onderhevig aan wetten en regels omtrent privacy zoals de Algemene verordening gegevensbescherming (AVG), aldus het NCSC.

Verder adviseert de overheidsdienst om onderscheid tussen verschillende accounts te maken op basis van het bijbehorende risico. High-impact accounts, zoals die van beheerders, vereisen een andere beveiliging dan bijvoorbeeld gastaccounts. Organisaties kunnen op basis van een risicobeoordeling hun accounts indelen in low - medium - en high impact accounts. Vervolgens zijn de accounts met behulp van het volwassenheidsmodel voor authenticatie op een gepaste manier te beveiligen.

Afsluitend raadt de factsheet aan om een maximaal aantal toegestane inlogpogingen per tijdseenheid in te stellen voor alle clients. Daarnaast zouden medewerkers zicht moeten hebben op hun inloggeschiedenis, zodat ze verdachte activiteiten sneller kunnen opmerken en rapporteren.

Image

Reacties (14)
25-04-2022, 12:48 door Anoniem
2FA is zeker goed voor de wat meer vertrouwelijke gegevens, maar FIDO2... Ik heb zo'n Yubikey, maar wat een gekloot. Kreeg het niet werkend en ik ben geen onbekende op ICT gebied. Als ontwikkelaar vind ik een RFC 6238 gebaseerde softwaretoken veel fijner. Werkt op alle apparaten (veel succes met je Yubikey aansluiten op je mobiel) en veel eenvoudiger te implementeren.
25-04-2022, 12:52 door Anoniem
Voor wie geïnteresseerd is in een uitgebreider en completer overzicht, is er de NIST SP800-63B: https://pages.nist.gov/800-63-3/sp800-63b.html.
25-04-2022, 12:58 door Anoniem
Ik vraag mij trouwens af of het NCSC deze factsheet ook naar Logius heeft gestuurd. Bij DigiD is er nog wel wat werk aan de winkel gok ik zo.
25-04-2022, 13:32 door Anoniem
Door Anoniem: 2FA is zeker goed voor de wat meer vertrouwelijke gegevens, maar FIDO2... Ik heb zo'n Yubikey, maar wat een gekloot. Kreeg het niet werkend en ik ben geen onbekende op ICT gebied. Als ontwikkelaar vind ik een RFC 6238 gebaseerde softwaretoken veel fijner. Werkt op alle apparaten (veel succes met je Yubikey aansluiten op je mobiel) en veel eenvoudiger te implementeren.
Werkt prima, enige nadeel is dat Microsoft nog steeds geen ondersteuning in hun rdp client heeft ingebouwd voor U2F, mn Yubikey werkt verder prima op mn mobiel via NFC.
25-04-2022, 16:14 door Anoniem
Beperkte opvatting van 2FA.
25-04-2022, 16:20 door Jeroenix
Yubikey officieel ondersteund voor RDP door Microsoft of niet: ik kan melden dat het echt prima werkt.
25-04-2022, 16:55 door Anoniem
Door Anoniem: Ik vraag mij trouwens af of het NCSC deze factsheet ook naar Logius heeft gestuurd. Bij DigiD is er nog wel wat werk aan de winkel gok ik zo.
Met gokken bedoel jij bashen!
25-04-2022, 17:56 door Anoniem
Door Anoniem:
Door Anoniem: Ik vraag mij trouwens af of het NCSC deze factsheet ook naar Logius heeft gestuurd. Bij DigiD is er nog wel wat werk aan de winkel gok ik zo.
Met gokken bedoel jij bashen!
Ik probeer het belang van veilige, open standaarden zoals FIDO2/WebAuthn vaak onder de aandacht te brengen, inderdaad. Het is een groot gemis dat DigiD dit nog niet ondersteund.
25-04-2022, 20:26 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik vraag mij trouwens af of het NCSC deze factsheet ook naar Logius heeft gestuurd. Bij DigiD is er nog wel wat werk aan de winkel gok ik zo.
Met gokken bedoel jij bashen!
Ik probeer het belang van veilige, open standaarden zoals FIDO2/WebAuthn vaak onder de aandacht te brengen, inderdaad. Het is een groot gemis dat DigiD dit nog niet ondersteund.
Nee hoor.
25-04-2022, 20:46 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik vraag mij trouwens af of het NCSC deze factsheet ook naar Logius heeft gestuurd. Bij DigiD is er nog wel wat werk aan de winkel gok ik zo.
Met gokken bedoel jij bashen!
Ik probeer het belang van veilige, open standaarden zoals FIDO2/WebAuthn vaak onder de aandacht te brengen, inderdaad. Het is een groot gemis dat DigiD dit nog niet ondersteund.
Ik ben er zelf niet van overtuigd, dat open EN veilig samengaan.
26-04-2022, 06:56 door Anoniem
Door Anoniem: 2FA is zeker goed voor de wat meer vertrouwelijke gegevens, maar FIDO2... Ik heb zo'n Yubikey, maar wat een gekloot. Kreeg het niet werkend en ik ben geen onbekende op ICT gebied. Als ontwikkelaar vind ik een RFC 6238 gebaseerde softwaretoken veel fijner. Werkt op alle apparaten (veel succes met je Yubikey aansluiten op je mobiel) en veel eenvoudiger te implementeren.

Huh ik heb de yubikey 5 versie NFC en usb-c. Beide werken gewoon op mijn smartphone!
26-04-2022, 13:40 door Anoniem
(2FA)

Telefoon kwijt,en of simkaart kwijt

heb je dan nog toegang tot je account?

Mca
26-04-2022, 13:46 door Anoniem
In Tabel 2

Ontbreekt iets

Analoge samenleving


Authenticatie - Voordelen - Nadelen


Analoge samenleving - Geen stress,veiligheid en privacy - Geen


The Matrix
26-04-2022, 19:56 door Anoniem
Door Anoniem: Beperkte opvatting van 2FA.
Nuttigd bijdrage zo, anoniem en zonder onderbouwing...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.