Nu cybercriminaliteit steeds geraffineerder wordt, beseffen bedrijven dat hun oude beveiligingsoplossingen niet langer volstaan om het hoofd te bieden aan nieuwe bedreigingen en aanvallen. Naast grote commerciele bedrijven zijn non-profitorganisaties en kleine ondernemingen inmiddels ook slachtoffers van dergelijke aanvallen. Een methode van beveiliging die bedrijven steeds vaker gebruiken is tweestapsverificatie. In dit artikel leggen wij uit wat 2FA (2 Factor Authenticatie) is en waarom het nodig is.
Het staat buiten kijf dat internetdiensten zoals websites en applicaties beter moeten worden beveiligd. Gebruikers moeten een beveiliging gebruiken die verder gaat dan enkel een wachtwoord. Tweestaps verificatie, ook wel bekend als tweestaps authenticatie, biedt deze extra beschermingslaag voor veel gebruikers.
1. Wat is tweestapsverificatie?
De twee stappen bij een traditionele tweestapsverificatie zijn 1) een wachtwoord en 2) een code die de gebruiker op een vertrouwd, toegewezen, apparaat ontvangt. Om je met succes te authenticeren, moet een geautoriseerde gebruiker deze twee stappen van tweestapsverificatie doorlopen. Nadat de gebruiker zijn login en wachtwoord heeft ingediend, kan hem worden gevraagd aanvullende informatie te verstrekken (zoals een eenmalige PIN-code of een elektronische code die naar zijn telefoon wordt gestuurd) aan de hand waarvan hij kan worden geïdentificeerd als de echte gebruiker van de dienst.
Volgens de Oxford Dictionary is verificatie “de handeling van het aantonen of verifiëren dat iets juist of juist is“. Bij 2FA bevestig je dus jouw identiteit in twee delen, de een na de ander, met behulp van een techniek die bekend staat als tweestapsverificatie. Nadat de eerste fase is voltooid, gaat het systeem over tot de verificatie van de identiteit van de gebruiker.
2. De vormen van 2FA
Bij 2FA gaat het in de basis om een combinatie van twee van de onderstaande opties:
- Iets wat je weet (wachtwoord);
- Iets wat je hebt (authenticatie applicatie, sms code etc.);
- Iets wat je bent (vingerafdruk, retina, gezichtsherkenning etc.).
Een sms code versturen wordt onder critici niet gezien als een echte vorm van 2FA. De code is namelijk iets wat verstuurd wordt en wanneer je iets verstuurt, kan dat onderschept worden. Het is, letterlijk gezien, niet iets wat je al hebt, maar eerder iets wat je toegestuurd krijgt.
Grammaticaal gezien is er zodoende ook een onderscheid in authenticatie en verificatie. Alhoewel wij in Nederland de termen als synoniemen gebruiken, is er een verschil. Zo is het versturen van de sms als tweede stap een verificatie dat jij de gebruiker bent. Het is echter niet mogelijk om te authenticeren dat jij ook daadwerkelijk bent wie je zegt dat je bent. Bijvoorbeeld als een hacker het bericht kan onderscheppen, bijvoorbeeld via spyware.
3. Waarom is tweestapsverificatie noodzakelijk?
Hoe zou het zijn om op een mooie lentemorgen wakker te worden en geen toegang te hebben tot een van uw online accounts? Na een zorgelijke controle is het duidelijk dat uw e-mailaccount is gehackt, uw bedrijfswebsite, en uw zakelijke creditcard is ook nog eens gebruikt voor malafide overschrijvingen. Hoe verschrikkelijk zou dat zijn? Veel internetgebruikers, bedrijven, organisaties en zelfs regeringen hebben dit reeds meegemaakt. En vaak komt het besef van goede beveiliging bij slachtoffers pas na een succesvolle aanval.
Gebruikt u al 2FA? In veel gevallen is twee-factor authenticatie noodzakelijk. Het biedt extra beveiliging naast wachtwoorden. Cybercriminelen moeten aanzienlijk meer stappen zetten om het tweede niveau van authenticatie te kraken. Het kraken van wachtwoorden is een relatief makkelijke stap. Beschikbare commerciële producten claimen reeds sinds 2011 dat zij tot 2.800.000.000 wachtwoorden per seconde kunnen testen op een standaard desktopcomputer met een high-end grafische processor. En precies om deze reden is het hebben van een tweede stap in het verificatie/authenticatie proces broodnodig.