Aanbieders van webmail zouden standaard tweefactorauthenticatie (2FA) moeten inschakelen en dit niet bij hun gebruikers moeten leggen, zo vindt de Duitse overheid. Op dit moment is de beveiligingsmaatregel bij veel providers nog optioneel, waardoor het ook weinig gebruik wordt. Dat stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, in een vandaag verschenen whitepaper over eisen voor veilige en gebruiksvriendelijke webmail.

Volgens het BSI laten veel webmaildiensten gebruikers inloggen met alleen een gebruikersnaam en wachtwoord. 2FA is vaak optioneel en het is voor gebruikers lastig om dit in te schakelen, aldus de Duitse overheidsdienst. Die liet eerder al onderzoek doen naar het gebruik van 2FA onder internetgebruikers. Van de deelnemers aan het onderzoek gaf slechts 34 procent aan 2FA te gebruiken, waarbij er een dalende trend zichtbaar is ten opzichte van eerdere onderzoeken.

Het BSI vindt dat 2FA dan ook geen optionele instelling zou moeten zijn, maar standaard moet zijn ingeschakeld. Wanneer gebruikers voor het eerst een account registreren zou meteen 2FA moeten worden ingesteld. Daarbij zouden gebruikers wel de mogelijkheid tot opt-out moeten hebben, zo laat de Duitse overheidsdienst verder weten. Tevens pleit het BSI ervoor dat webmaildiensten eenvoudig te gebruiken end-to-end encryptie zouden moeten aanbieden, gebaseerd op open standaarden zoals OpenPGP en S/MIME), en dat er betrouwbare mogelijkheden zijn voor het herstellen van gecompromitteerde accounts.

"Een essentieel onderdeel van e-mailbeveiliging rust nu op de schouders van gebruikers. Van hen wordt verwacht bekend te zijn met tweefactorauthenticatie, passkeys en encryptie. Wij vinden dat die verantwoordelijkheid bij de aanbieders hoort te liggen: Zij moeten efficiënte procedures voor authenticatie, encryptie, spambescherming en accountherstel bieden die zonder al te grote interactie van gebruikers werken en een grote beveiligingsverbetering opleveren. Alleen wanneer beveiligingsmaatregelen begrijpbaar, interoperabel en praktisch voor dagelijks gebruik zijn, kunnen ze volledig effectief zijn", zegt Caroline Krohn van het BSI.