Multi-Factor Authentication (MFA) betekent dat er naast een gebruikersnaam en wachtwoord ook gebruik wordt gemaakt van een andere factor om in te kunnen loggen. In een recente blog gaven we al aan waarom de traditionele manier van inloggen met alleen een wachtwoord en gebruikersnaam niet meer veilig is. Multi-Factor Authentication maakt inloggen veiliger door het verkleinen van de directe lijn van bedreigingen.
Grote voordelen aan multi-factor authentication zijn dat password managers niet nodig zijn en dat een gelekt wachtwoord niet gelijk een ramp is. Om in te kunnen loggen is namelijk een extra factor nodig. Factoren die bij het inlogproces kunnen worden toegevoegd zijn zaken als een unieke token, biometrisch kenmerk, sleutel, smart card of bijvoorbeeld een bank scanner. Hieronder volgen een paar beschrijvingen van Multi-Factor authenticaties.
Multi-Factor Authenticatie met SMS
In deze 2-factoren authenticatie situatie wordt er als eerste gebruik gemaakt van een gebruikersnaam en wachtwoord. Zodra deze correct zijn ingevoerd, wordt er naar een aan dit account gekoppeld telefoonnummer een SMS gestuurd. Op de telefoon waar het simkaartje in zit die correspondeert met het gekoppelde telefoonnummer verschijnt een code die ingevoerd dient te worden op het inlogscherm. Op deze manier heeft een cybercrimineel niet veel aan alleen de gebruikersnaam en het wachtwoord gezien hij (waarschijnlijk) geen toegang heeft tot de externe telefoon. Onderstaande afbeelding illustreert de situatie van 2 factor authenticatie met SMS.
Er zitten aan deze methode helaas wel enkele risico’s verbonden. Middels phishing kan er toegang worden verkregen tot ook de ontvangen token. De gebruiker zal in dat geval onbewust de code delen met de crimineel, welke de code dan weer kan gebruiken om in te loggen.
Bovendien betekent het invoeren van een telefoonnummer dat de partij waar je een account hebt beschikt over jouw telefoonnummer, wat niet bevorderlijk is voor de privacy van de gebruiker. Zodra de server van de partij waar je een account hebt wordt gehackt, beschikken ze ook over je telefoonnummer.
Als je echter een inlogcode per SMS ontvangt terwijl je niet geprobeerd hebt in te loggen is het voor de meeste gebruikers vanzelfsprekend hier niks mee te doen en het wachtwoord aan te passen op de website.
Verder bestaat er ook het risico van “SIM swapping”. Dit is een relevant thema waar nog niet iedereen van op de hoogte is. Bij SIM swapping overtuigen criminelen de telefoonprovider ervan dat jij belt om je nummer te koppelen aan een andere simkaart (die van de aanvaller), of worden er zelfs simkaarten op jouw naam aangevraagd. Daarmee krijgen zij dus de tokens om in te loggen, en bij sommige websites zelfs de mogelijkheid om het wachtwoord aan te passen. Hier wordt actief misbruik van gemaakt.
Multi-Factor Authenticatie met TOTP
TOTP (Time-based One Time Password) maakt gebruik van een sleutel die bij registratie afgesproken en opgeslagen is op zowel de server als het compatibele apparaat (zoals bijvoorbeeld een smartphone). Door in te loggen op een app als bijvoorbeeld Aegis of Google Authenticator is er sprake van externe validatie buiten het traditionele inlogproces.
Dit is momenteel de meest voorkomende methode om in te loggen en wordt breed ondersteund. De token kan op veel apparaten gegenereerd worden, is meteen beschikbaar en is niet privacygevoelig. Het is daardoor een gebruikersvriendelijke en toegankelijke tweede factor.
Hoewel deze manier van Multi-Factor Authentication beter gebruikt kan worden dan SMS, is ook hierbij het risico van phishing aanwezig. Wanneer een gebruiker een neppe website bezoekt en de inloggegevens invoert, kunnen aanvallers aan de achterkant van deze website de gegevens invullen op de echte website. Ze kunnen het inlogproces dan zo namaken, dat de echte gebruiker ook de TOTP token zal invoeren, waardoor de aanvallers toegang hebben tot het account.
Dit zijn slechts 2 populaire vormen van Multi-Factor Authentication. Gezien niet alle varianten van Multi-Factor Authentication risicoloos zijn, zijn er methodes ontwikkeld om het inlogproces overnieuw in te richten, bijvoorbeeld met het gebruik van een Yubikey. In een volgende blog zullen we verder uitleggen wat een Yubikey precies is en wat je er mee kan.
Wil je meer weten over IT Security of heb je vragen naar aanleiding van deze blog? Neem gerust contact met ons op.
