Welke authenticatieoptie met twee factoren is de beste?
Op het eerste gezicht is tweefactorauthenticatie (2FA) een meedogenloos eenvoudige en ongelooflijk effectieve beveiligingsfunctie. Door tweestapsverificatie te implementeren, zorgt u er in wezen voor dat een aanvaller het account van een slachtoffer niet kan overnemen met alleen een gebruikersnaam en een wachtwoord. Er is een extra stap tijdens het authenticatieproces zonder welke geen toegang wordt verleend. Tot nu toe zo eenvoudig. Hier begint het echter ingewikkelder te worden.
De meeste 2FA-systemen vertrouwen op een tweede tijdelijk wachtwoord (vaak eenmalig wachtwoord of OTP genoemd), dat de gebruiker moet invoeren om zijn account te ontgrendelen. In andere gevallen is voor inloggen een hardwareapparaat of token vereist dat als bewijs dient dat de gebruiker toegang heeft tot het account. Er is veel discussie over wat de betere optie is: een hardwaretoken of een OTP. De vraag welke het beste hardwaretoken is, is ook besproken, en hetzelfde geldt voor de verschillende manieren waarop op OTP gebaseerde 2FA-systemen kunnen worden geïmplementeerd. Met andere woorden, 2FA heeft voor velen meer vragen opgeworpen dan beantwoord.
Table of Contents
De OTP-discussie
Een OTP is een behoorlijk robuuste tweede factor, maar deze moet correct worden geïmplementeerd. Als OTP's willen werken, moeten ze uniek en willekeurig zijn. Als de hackers het algoritme achter het mechanisme dat OTP's maakt, kunnen achterhalen, kunnen ze het hele 2FA-systeem verslaan. Ze kunnen er misschien ook aan werken als ze genoeg tijd hebben om de OTP te raden. Omwille van de bruikbaarheid zijn OTP's vaak 4- of 6-cijferige codes die relatief gemakkelijk kunnen worden geraden. Daarom is het belangrijk ervoor te zorgen dat ze na een redelijke periode verlopen. Natuurlijk kunnen de juiste snelheidslimieten ook voorkomen dat aanvallers bruut binnendringen.
Het is redelijk om te zeggen dat de meeste ontwikkelaars en systeembeheerders die voor OTP-gebaseerde 2FA hebben gekozen deze regels in acht nemen, en dit soort aanvallen komen niet zo vaak voor. Als het gaat om de bezorgmethode voor OTP's, is het echter compleet anders.
Er zijn een aantal verschillende manieren waarop u een OTP aan de gebruiker kunt leveren. U kunt dit doen via e-mail, sms of een authenticator-app op hun smartphone. Heel wat mensen verliezen hun kalmte over hoe onzeker sommige van deze media zijn. We hebben in het verleden bijvoorbeeld gesproken over de technologie achter sms-berichten die vrij oud is en theoretisch hackers kan toestaan OTP's te onderscheppen en 2FA te omzeilen. Al een tijdje worden e-mails ook veroordeeld als veel te onveilig om gevoelige informatie zoals 2FA OTP's te bevatten.
Feit is dat de beste manier om ervoor te zorgen dat OTP's tijdens verzending niet kunnen worden onderschept, helemaal niet is om ze door te sturen. Dit is de reden waarom mobiele 2FA-applicaties zoals Google Authenticator worden beschouwd als de beste optie voor op OTP gebaseerde tweefactorauthenticatiesystemen waarvoor geen extra hardwaretoken nodig is. Het probleem met deze apps is echter dat gebruikers die geen smartphone hebben deze niet kunnen gebruiken.
Zijn hardwaretokens de oplossing?
Het idee van 2FA-apps is afgeleid van hardwaretokens die ook complexe cryptografische functies gebruiken om ter plaatse OTP's te maken. Bekend als RSA SecurID, ze zijn ongeveer zo groot als een sleutelhanger en hebben een klein monochroom LCD-scherm dat de huidige OTP laat zien. U zou dit als een oplossing kunnen zien, vooral als sommige van uw potentiële gebruikers geen smartphones hebben, maar er is nog één ding om te overwegen. De inherente kwetsbaarheid van eenmalige wachtwoorden is dat ze, net als normale wachtwoorden, kunnen worden gephishing.
Dit is de reden waarom volgens beveiligingsexperts de veiligste 2FA-systemen vertrouwen op U2F-sleutels - hardwaretokens die in plaats van OTP's te genereren en weer te geven, rechtstreeks communiceren met uw computer of mobiele apparaat en u automatisch authenticeren. Ze zijn klein genoeg om aan een sleutelhanger te dragen, ze hebben geen batterij en de draadloze technologie waarop sommigen van hen vertrouwen, betekent dat authenticatie vaak onmiddellijk plaatsvindt. Omdat de gebruiker niet verplicht is om een OTP in te voeren, wordt dit beschouwd als de beste methode in termen van zowel bruikbaarheid als beveiliging. Het is echter nog steeds niet perfect.
In tegenstelling tot 2FA-apps zijn e-mails en, in de meeste gevallen, sms-berichten, U2F-sleutels niet gratis. De investering is niet enorm, maar het trieste feit is dat de meeste gebruikers niet erg gesteld zijn op het betalen voor beveiliging, en zelfs een redelijke prijs kan voor hen al een barrière zijn. Het probleem van het verliezen van de kleine penningen is natuurlijk ook aanwezig.
Hoe kiest u de meest geschikte 2FA-implementatie voor uw service?
Al met al bestaat er niet zoiets als "de perfecte 2FA". Sommige implementaties zijn veiliger dan andere, maar ze hebben allemaal hun eigen afzonderlijke problemen, wat betekent dat als u een online service uitvoert, u moet beslissen wat voor soort 2FA u gaat implementeren op basis van uw gebruikers, hun behoeften, en hun dreigingsmodellen. Voor extra flexibiliteit laten de meeste serviceproviders mensen kiezen welke 2FA-implementatie ze willen gebruiken uit een lijst met verschillende opties, en dit is misschien de meest redelijke benadering, gezien de diversiteit van de gebruikersbasis.
Zorg ervoor dat je één ding niet vergeet - zelfs de meest onveilige 2FA is beter dan geen 2FA.
