Duitse overheid pleit voor standaard inschakelen van 2FA bij webmail
Aanbieders van webmail zouden standaard tweefactorauthenticatie (2FA) moeten inschakelen en dit niet bij hun gebruikers moeten leggen, zo vindt de Duitse overheid. Op dit moment is de beveiligingsmaatregel bij veel providers nog optioneel, waardoor het ook weinig gebruik wordt. Dat stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, in een vandaag verschenen whitepaper over eisen voor veilige en gebruiksvriendelijke webmail.
Volgens het BSI laten veel webmaildiensten gebruikers inloggen met alleen een gebruikersnaam en wachtwoord. 2FA is vaak optioneel en het is voor gebruikers lastig om dit in te schakelen, aldus de Duitse overheidsdienst. Die liet eerder al onderzoek doen naar het gebruik van 2FA onder internetgebruikers. Van de deelnemers aan het onderzoek gaf slechts 34 procent aan 2FA te gebruiken, waarbij er een dalende trend zichtbaar is ten opzichte van eerdere onderzoeken.
Het BSI vindt dat 2FA dan ook geen optionele instelling zou moeten zijn, maar standaard moet zijn ingeschakeld. Wanneer gebruikers voor het eerst een account registreren zou meteen 2FA moeten worden ingesteld. Daarbij zouden gebruikers wel de mogelijkheid tot opt-out moeten hebben, zo laat de Duitse overheidsdienst verder weten. Tevens pleit het BSI ervoor dat webmaildiensten eenvoudig te gebruiken end-to-end encryptie zouden moeten aanbieden, gebaseerd op open standaarden zoals OpenPGP en S/MIME), en dat er betrouwbare mogelijkheden zijn voor het herstellen van gecompromitteerde accounts.
"Een essentieel onderdeel van e-mailbeveiliging rust nu op de schouders van gebruikers. Van hen wordt verwacht bekend te zijn met tweefactorauthenticatie, passkeys en encryptie. Wij vinden dat die verantwoordelijkheid bij de aanbieders hoort te liggen: Zij moeten efficiënte procedures voor authenticatie, encryptie, spambescherming en accountherstel bieden die zonder al te grote interactie van gebruikers werken en een grote beveiligingsverbetering opleveren. Alleen wanneer beveiligingsmaatregelen begrijpbaar, interoperabel en praktisch voor dagelijks gebruik zijn, kunnen ze volledig effectief zijn", zegt Caroline Krohn van het BSI.
Moet een mail dienst dan ook al mijn telefoonnummer hebben? - wil ik helemaal niet.
Een app? Dan blijft het single factor (nl. de telefoon). Dus dan wordt het een token of een losse calculator ofzo? Alsof dat op gaat schieten...
Daarnaast: mail zou je niet moeten gebruiken voor zaken die je niet op een briefkaart zou zetten. Immers, het is redelijk 'openbaar' (al is het maar bij de mail provider(s)). Als je het voor spannender dingen gebruikt, dan gaat daar reeds wat fout!
Het gaat om mijn eigen email. Mag ik dan zelf de afweging maken welk risico ik neem?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?