Een vergelijking van tweefactorauthenticatiemethoden: welke is het beste voor u?

Een man typt een code in zijn tweefactorauthenticatiegadding.


Tweefactorauthenticatie maakt het onmogelijk voor hackers om brute-force in te breken in uw accounts en beschermt u zelfs als de hackers uw wachtwoord krijgen. Het kan zelfs helpen uw account te vergrendelen als uw in het verleden phishing-gegevens zijn gebruikt.

Kortom, two-factor authentication (2FA) is belangrijk.

Maar welk tweefactorauthenticatiemodel moet u kiezen? Bijna alle services bieden eenmalige wachtwoorden via een sms-bericht op uw telefoon. Veel bieden ook eenmalige wachtwoorden gegenereerd op uw mobiele apparaat (met behulp van Google Authenticator, Authy of zelfs Facebook).

Een paar services geven u de optie om een ​​hardwareapparaat aan te sluiten, en er zijn afwegingen tussen de opties. Deze blog legt uit wat deze keuzes zijn, waar u voorzichtig mee moet zijn en wat het beste voor u is.

Waarom is tweefactorauthenticatie superieur?

Het is moeilijk, zo niet onmogelijk om een ​​gekraakt of gestolen wachtwoord op te merken. Met een gestolen of gekraakt wachtwoord heeft een aanvaller voor onbepaalde tijd toegang tot uw account of kunt u volledig worden buitengesloten.

Op dezelfde manier kunt u, als u alleen bent gestolen, alleen op een apparaat inloggen om u aan te melden. Hoewel je je sneller zou realiseren dat je gecompromitteerd bent.

Het combineren van iets dat je kent en iets dat je samen hebt, maakt het echter veel minder schadelijk als je wachtwoord is gekraakt of je apparaat is gestolen. Als u uw apparaat verliest, heeft de dief of vinder geen toegang tot uw accounts zonder wachtwoord. En als uw wachtwoord is gekraakt, heeft niemand toegang tot uw account zonder het apparaat.

2FA beste methoden

Te overwegen factoren bij het kiezen van tweefactorauthenticatie

De theorie van authenticatie van identiteit definieert meestal drie factoren:

  • Iets dat je weet
  • Iets wat je hebt
  • Iets wat je bent

Meestal worden gebruikers op internet geïdentificeerd door iets dat ze kennen. Dit is meestal een wachtwoord, maar kan ook een beveiligingsvraag zijn.

De risico’s met “iets dat je weet” zijn dat je zou kunnen vergeten, of niet de enige bent die weet, b.v. omdat je de kennis vrijwillig of onvrijwillig hebt gedeeld. Het is misschien ook mogelijk dat een derde partij deze kennis op andere manieren opdoet, bijvoorbeeld door naar sociale media te kijken om het antwoord te krijgen op veelgestelde vragen over veiligheid: “Wat is uw favoriete huisdier?” Of “In welke straat bent u opgegroeid?”

Een tweede factor is “iets wat je hebt”, wat een beveiligingssleutel of simkaart kan zijn. Vaak wordt deze tweede factor toegepast als een back-upreset voor het geval u uw wachtwoord vergeet.

De derde factor is ‘iets wat je bent’. Dit kan je vingerafdruk of gezichts- en stemherkenning zijn en wordt zelden buiten militaire faciliteiten gebruikt.

Alleen wanneer twee van deze factoren, of meerdere factoren, nodig tegelijkertijd voor authenticatie spreken we van two-factor of multi-factor authenticatie.

Veelgebruikte methoden voor tweefactorauthenticatie

1. SMS-bericht

security-privacy-access-1

Wat heb je: Een simkaart
De meest voorkomende vorm van tweefactorauthenticatie is de mobiele telefoon. Bijna iedereen heeft een mobiele telefoon en houdt deze altijd bij zich, waardoor dit een populaire en handige keuze is voor providers en gebruikers.

Wat gebeurt er als je het verliest: Als u een maandabonnement hebt, kunt u uw oude simkaart vergrendelen en een nieuwe aanschaffen bij uw provider. Er bestaat een risico dat u tijdens het reizen de toegang tot uw account verliest als sms-berichten er niet doorkomen.

Beveiligingsrisico’s: Sommige providers maken het vreselijk triviaal voor iemand anders om namens u een nieuwe simkaart te verkrijgen, of erger nog, uw simkaart te klonen. Veel providers maken het ook mogelijk voor een aanvaller om sms-berichten om te leiden naar een ander nummer, waardoor uw beveiliging in wezen wordt omzeild.

Natiestaten kunnen naar u verzonden tekstberichten lezen of omleiden, waardoor zij uw beveiliging kunnen omzeilen. Bovendien is er het risico van man-in-the-middle-aanvallen als u het sms-bericht in de verkeerde service invoert.

Privacy risico’s: Contracten koppelen noodzakelijkerwijs uw naam aan elke service waarvoor u uw telefoon heeft gebruikt om u aan te melden. Prepaid telefooncontracten vervangen echter geen verloren SIM-kaart. Hoe dan ook, uw mobiele telefoonbedrijf kan bijhouden waar u bent en van wie u codes ontvangt.

2. Authenticator-apps

security-privacy-access-2

Wat heb je: Uw telefoon met een app geïnstalleerd.
Wanneer u een authenticator-app gebruikt (bijvoorbeeld Google Authenticator of Authy), zal de service waarmee u 2FA instelt, een geheime code met u communiceren, meestal in de vorm van een QR-code. Scan deze code met de authenticator-app en vanaf dat moment genereert uw app willekeurige codes die om de paar seconden veranderen. U hebt deze code elke keer nodig wanneer u zich aanmeldt bij een service.

Wat gebeurt er als je het verliest: Sommige services maken het handig om een ​​back-up van deze code te maken, dus als u per ongeluk de authenticator-app verwijdert, uw telefoon verliest of breekt, kunt u deze gewoon opnieuw instellen. Andere services moedigen u aan om unieke back-upcodes op te slaan die u kunt gebruiken in het geval u de toegang tot uw authenticator-app verliest.

Dit roept natuurlijk de vraag op waar de back-upcodes moeten worden opgeslagen. Vaak is een vel papier de beste optie, maar waar is een veilige plek om het op te slaan?

Opmerking: zolang uw telefoon stroom heeft, genereert de app codes voor u. Uw telefoon heeft geen internet nodig terwijl deze de codes genereert.

Beveiligingsrisico’s: Als iemand in staat is om de QR-code te screengraveren, of op een andere manier om de geheime sleutel te onderscheppen, zouden ze dezelfde codes in hun authenticator-app kunnen genereren. Net als sms-berichten is er het risico van man-in-the-middle-aanvallen als u uw toegangscode op de verkeerde website invoert.

Privacy risico’s: Als uw authenticator-app vereist dat u zich aanmeldt met uw e-mailadres, kan dit een aanvaller helpen accounts aan elkaar te koppelen. Over het algemeen heeft een authenticator-app weinig privacyrisico’s.

3. Hardware-sleutels

security-privacy-access-3

Wat heb je: Een hardwaresleutel die compatibel is met de FIDO U2F-standaard.
Deze sleutel, die vaak op een kleine USB-stick lijkt, bevat een kleine chip die veilig een privésleutel opslaat.

Nadat u het apparaat hebt aangesloten en geregistreerd bij een service, ondertekent de openbare sleutel berichten op een manier dat de service ze kan verifiëren. In tegenstelling tot sms-berichten of authenticator-apps, is er geen risico op man-in-the-middle-aanvallen omdat de fysieke hardwaresleutel nodig is om de service te authenticeren.

In tegenstelling tot sms-berichten of authenticator-apps zijn hardwaresleutels niet gratis. Maar omdat de dominante FIDO U2F-standaard een open standaard is, is er veel concurrentie tussen verschillende producenten. Producten kunnen variëren tussen US $ 5 en US $ 120 met een gebundelde hardware Bitcoin-portemonnee.

Wat gebeurt er als je het verliest: Als u het zich kunt veroorloven, is een tweede hardwaresleutel een goed idee. Anders kunt u, net als bij authenticator-apps, back-upcodes downloaden waarmee u weer toegang hebt tot uw account.

Beveiligingsrisico’s: De hardwaresleutels blinken zo uit in beveiliging dat ze, indien correct geïmplementeerd, phishing-aanvallen volledig kunnen elimineren. Voor nu vereisen de meeste services die hardwaresleutelregistratie aanbieden ook een authenticator-app of telefoonnummer in het bestand. Het zijn deze zwakke links die waarschijnlijk ook uw beveiligingsbedreigingen zullen worden.

Privacy risico’s: Koop het apparaat zeker met contant geld of Bitcoin. Over het algemeen vormt een hardwaresleutel geen privacyrisico, omdat deze voor elk account een nieuw sleutelpaar vormt.

Hardwaresleutels zijn het beste voor 2FA, maar niet iedereen accepteert ze

Hardwaresleutels winnen vanuit een beveiligingsperspectief, ze zijn privé en worden niet beïnvloed door een stervende of buiten bereik telefoon. Slechts enkele services (Google, Dropbox, Facebook, Github en enkele andere) ondersteunen echter de standaard tot nu toe.

Tenzij u uw telefoonprovider vertrouwt (en weinig providers betrouwbaar zijn), een authenticator-app is de beste optie.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map