Veiligheidskwesties met tweefactorauthenticatie (2FA)

Tweefactorauthenticatie (2FA) is een specifieke vorm van multifactorauthenticatie (MFA) die de toegangsbeveiliging versterkt door twee methoden (ook authenticatiefactoren genoemd) te vereisen om uw identiteit te verifiëren. Deze factoren kunnen iets omvatten dat u weet – zoals een gebruikersnaam en wachtwoord – plus iets dat u hebt – zoals een smartphone-app – om authenticatieverzoeken goed te keuren.

2FA beschermt tegen phishing, social engineering en brute-forceaanvallen op wachtwoorden en beveiligt uw aanmeldingen tegen aanvallers die zwakke of gestolen referenties misbruiken.

Twee-factorauthenticatie (2FA) is het basiselement van een beveiligingsmodel van zero trust. Om gevoelige gegevens te beschermen, moet u controleren of de gebruikers die toegang tot die gegevens proberen te krijgen, ook echt zijn wie ze zeggen dat ze zijn. 2FA is een effectieve manier om bescherming te bieden tegen veel beveiligingsrisico’s die gericht zijn op gebruikerswachtwoorden en -accounts, zoals phishing, brute-forceaanvallen, credentialexploitatie en meer.

Stel dat u een gebruikersnaam en wachtwoord gebruikt om de primaire authenticatie bij een toepassing te voltooien. Die informatie wordt over het internet verzonden (uw primaire netwerk). U zult een ander (out-of-band) kanaal willen gebruiken om uw tweede factor te voltooien. Het goedkeuren van een push-notificatie verzonden via uw mobiele netwerk is een voorbeeld van out-of-band authenticatie.

Wat zijn de soorten van 2FA?

SMS 2FA

howtogeek.com

MMS twee-factor authenticatie valideert de identiteit van een gebruiker door een beveiligingscode naar zijn mobiele apparaat te sms-en. De gebruiker voert de code vervolgens in op de website of in de toepassing waarvoor hij zich wil authenticeren.

TOTP 2FA

blog.meteor.com

De Time-Based One Time Password (TOTP) 2FA-methode genereert een sleutel lokaal op het apparaat waartoe een gebruiker toegang probeert te krijgen. De beveiligingssleutel is meestal een QR-code die de gebruiker met zijn mobiele apparaat scant om een reeks getallen te genereren. De gebruiker voert die getallen vervolgens in op de website of applicatie om toegang te krijgen. De door authenticators gegenereerde wachtwoorden verlopen na een bepaalde periode, en de volgende keer dat een gebruiker inlogt op een account wordt een nieuwe gegenereerd. TOTP maakt deel uit van de beveiligingsarchitectuur Open Authentication (OAUTH).

Push-Based 2FA

how-to-geek

Push-based 2FA is een verbetering ten opzichte van SMS en TOTP 2FA door extra beveiligingslagen toe te voegen en tegelijkertijd het gebruiksgemak voor eindgebruikers te verbeteren. Push-based 2FA bevestigt de identiteit van een gebruiker met meerdere authenticatiefactoren die bij andere methoden niet mogelijk zijn. Duo Security is de toonaangevende leverancier van op push gebaseerde 2FA.

U2F-tokens

wellesley.edu

U2F-tokens beveiligen tweefactorauthenticatie door gebruik te maken van een fysieke USB-poort om de locatie en identiteit te valideren van een gebruiker die zich probeert aan te melden. Om een U2F-token te gebruiken, plaatst een gebruiker het token in zijn apparaat en drukt hij op de knop aan de bovenkant van het apparaat. Zodra het token is geactiveerd, voert de gebruiker zijn PIN-code in en krijgt hij toegang tot zijn accounts.

WebAuthn

inovex.de

De Web Authentication API, die is ontwikkeld door de FIDO (Fast IDentity Online)-alliantie en W3C, is een specificatie die sterke, openbare-sleutelcryptografieregistratie en -authenticatie mogelijk maakt. WebAuthn (Web Authentication API) stelt derden zoals Duo in staat om ingebouwde biometrische authenticators op laptops en smartphones aan te spreken, zodat gebruikers zich snel kunnen authenticeren met de tools die ze al binnen handbereik hebben.

Welke bedreigingen adresseert 2FA?

  • Gestolen wachtwoorden
  • Phishing-pogingen
  • Social Engineering
  • Brute-Force attacks
  • Broken logica
  • Key Logging

Vulnerabilities in two-factor authentication

Bypassing two-factor authentication

At times, is de implementatie van twee-factor authenticatie zo gebrekkig dat het volledig omzeild kan worden.

Als de gebruiker eerst wordt gevraagd een wachtwoord in te voeren, en vervolgens op een aparte pagina wordt gevraagd een verificatiecode in te voeren, is de gebruiker in feite in een “ingelogde” staat voordat hij de verificatiecode heeft ingevoerd. In dit geval is het de moeite waard om te testen of je direct naar “alleen ingelogd” pagina’s kunt gaan na het voltooien van de eerste verificatiestap. Soms zult u merken dat een website niet echt controleert of u de tweede stap hebt voltooid voordat de pagina wordt geladen.

Two-factor authentication tokens

Verificatiecodes worden meestal gelezen door de gebruiker vanaf een fysiek apparaat van een of andere soort. Veel streng beveiligde websites bieden gebruikers nu een speciaal apparaat voor dit doel, zoals de RSA-token of het toetsenbordapparaat dat u zou kunnen gebruiken om toegang te krijgen tot uw online bankieren of werklaptop. Deze speciale apparaten zijn niet alleen speciaal ontworpen voor beveiliging, maar hebben ook het voordeel dat ze de verificatiecode direct genereren. Het is ook gebruikelijk voor websites om een speciale mobiele app te gebruiken, zoals Google Authenticator, om dezelfde reden.

Aan de andere kant sturen sommige websites verificatiecodes naar de mobiele telefoon van een gebruiker als een sms-bericht. Hoewel dit technisch gezien nog steeds een verificatie is van de factor “iets wat je hebt”, is het vatbaar voor misbruik. Ten eerste wordt de code via SMS verzonden in plaats van door het apparaat zelf te worden gegenereerd. Hierdoor is het mogelijk dat de code wordt onderschept. Er is ook een risico van SIM-ruil, waarbij een aanvaller frauduleus een SIM-kaart met het telefoonnummer van het slachtoffer bemachtigt. De aanvaller zou dan alle sms-berichten ontvangen die naar het slachtoffer worden gestuurd, inclusief het bericht met de verificatiecode.