Two-factor/2-factor (2FA) of multi-factor (MFA) authenticatie is het gebruik van twee of meer factoren ter verificatie van een (online) gebruiker.

Maar wat zijn die factoren en welke bescherming biedt MFA boven het traditionele wachtwoord? In dit artikel leggen we u uit wat “2-factor authentication” of “multi-factor authentication” is en waarom deze extra laag van beveiliging zo belangrijk is.

Wat is 2-factor authentication (2FA) of multi-factor authentication (MFA)?

Multi-factor authenticatie is de algemene term, waar 2-factor authenticatie deel van uitmaakt. Er zijn namelijk meer dan 2 “factoren” die gebruikt kunnen worden ter authenticatie van een gebruiker.

Om te snappen hoe MFA werkt, is het echter belangrijk te begrijpen wat een "factor" in multi-factor authenticatie precies is.

Wat is een “factor” in multi-factor authenticatie?

Vooraleer een website/app u toegang kan geven tot uw account, vraagt het u om te bewijzen dat u de gebruiker bent die u beweert te zijn. Deze bewijsstukken vallen in te delen in 3 groepen, die factoren worden genoemd:

1. iets dat de gebruiker weet
   Hieronder vallen het gekende wachtwoord of de pincode, maar ook beveiligingsvragen.
   Een gebruikersnaam valt hier ook onder. Maar omdat de gebruikersnaam vaak publiek is, is het onveilig om hierop te vertrouwen als beveiligingsmaatregel.
2. iets dat de gebruiker heeft
   Denk aan hardware-tokens en sleutelkaarten, maar ook een token verstuurd per SMS of een token opgehaald via een smartphone-applicatie.
3. iets dat de gebruiker is
   Dit zijn biometrische gegevens, zoals een vingerafdruk, een irisscan, gezichtsherkenning of stemverificatie.
   De locatie van waaruit een gebruiker connecteert (bv. buiten kantoor of in het buitenland) of het tijdstip waarop de gebruiker tracht in te loggen (bv. buiten kantooruren) worden afwisselend onder deze noemer of als 2 aparte factoren gedefinieerd. Deze horen echter eerder als parameters voor extra onderzoek gebruikt te worden (logt de gebruiker plots in vanuit het buitenland of buiten de kantooruren?) dan als bewijs van authenticatie.

Iedere factor heeft zijn eigen sterktes en zwaktes inzake veiligheid en gebruiksvriendelijkheid. Zo is een wachtwoord eenvoudig in gebruik, omdat het geen externe tools vereist, maar is het eerder zwak op vlak van veiligheid, omdat mensen vaak zwakke wachtwoorden (her)gebruiken. Biometrische data is een stuk veiliger, maar is omslachtiger in gebruik omdat het specifieke hardware vereist.

Hoe worden “factoren” gebruikt in multi-factor authenticatie?

Om de veiligheid van het aanmeldingsproces te verhogen, kan een (web)applicatie u om meerdere bewijsstukken vragen. Door het combineren van factoren, kan de website met meer zekerheid bevestigen dat de persoon die tracht in te loggen de eigenaar van het account is.

Multi-factor authenticatie (MFA) is het gebruik van twee of meer factoren ter verificatie van een (online) gebruiker.

Om effectief te kunnen spreken over multi-factor authenticatie, dient men van verschillende factoren gebruik te maken. Meerdere bewijsstukken uit eenzelfde factor worden samen aanzien als één factor.

Het klassieke wachtwoord. Het gebruik van een wachtwoord in combinatie met een geheime (vaste) pincode biedt geen extra beveiliging, omdat beide afhankelijk zijn van eenzelfde factor (iets dat de gebruiker weet). De sterkte van deze combinatie is dus afhankelijk van hoe goed een gebruiker deze gegevens kan onthouden. Als iemand anders kennis heeft van uw wachtwoord en pincode (bv. door mee te lezen over de schouder, zgn. shoulder surfing), heeft hij/zij toegang tot uw account.

Multi-factor authenticatie. De combinatie van een wachtwoord (iets dat de gebruiker weet) met een token uit een smartphone-app (iets dat de gebruiker heeft) is veel veiliger. Om toegang te krijgen tot uw account, moet u niet enkel een wachtwoord ingeven (welke enkel door u gekend is), maar óók toegang hebben tot uw smartphone. Zelfs wanneer iemand over uw schouder meeleest en zo uw wachtwoord achterhaald, heeft hij/zij nog steeds geen toegang tot uw account om hij/zij geen toegang heeft tot uw smartphone.

Andere vormen van MFA. De bankkaartlezers die o.a. Belgische banken gebruiken om in te loggen op het online portaal, vormen ook een vorm van multi-factor authenticatie. Zo hebt u toegang nodig tot uw bankkaart (iets dat u heeft) en hebt u kennis van de pincode (iets dat u weet) nodig. Zelfs bij verlies van uw bankkaart, kan een aanvaller niet inloggen in uw bankaccount. Daarom is het belangrijk dat u uw pincode nooit op uw kaart noteert en u uw pincode nooit samen met uw bankkaart in uw portefeuille bewaart!

Uw smartphone beveiligd met pincode of vingerafdruk? Het gebruik van een pincode of wachtwoord op uw smartphone als back-up voor uw vingerafdruk (bv. voor wanneer u handschoenen draagt), telt niet als 2de factor. Beiden kunnen namelijk apart van elkaar gebruikt worden. Uw vingerafdrukbeveiliging kan dus omzeild worden door een pincode.

Waarom is multi-factor authentication belangrijk?

Multi-factor authentication voegt een extra laag van beveiliging toe aan uw (online) account.

Wachtwoorden zijn zwak

Zoals u in ons vorig artikel kon lezen, bieden wachtwoorden tegenwoordig onvoldoende bescherming. Mensen in uw omgeving kunnen uw wachtwoord meelezen over uw schouders (shoulder surfing), maar websites kunnen ook gehackt worden, waardoor wachtwoorden gelekt worden. Bovendien worden wachtwoorden veelvuldig hergebruikt of kiezen mensen voor gelijkaardige wachtwoorden. Tenslotte zijn mensen inherent slecht in het bedenken in sterke wachtwoorden, terwijl computers steeds beter worden in het kraken ervan.

Bescherming tegen bruteforce

Door gebruik te maken van een tweede factor die u beter kan beschermen, zoals een hardware-token aan uw sleutelbos, een app op uw smartphone (die ook met een wachtwoord beveiligd is) of uw vingerafdruk, beschermt u uw account tegen de meeste (online) aanvallen op uw account(s). Een aanvaller kan niet langer een lijst van wachtwoorden tegen uw account proberen (bruteforcing), zelfs al staat uw wachtwoord op die lijst. De aanvaller kan hoogstens bevestigen dat het wachtwoord correct is, maar raakt niet op uw account zonder toegang tot die 2de factor. Zolang u het wachtwoord dus niet hergebruikt op andere sites, en de site geen alternatieve login zonder MFA heeft, is uw account veilig.

Beschermt MFA tegen alles?

Nee. Alhoewel MFA een belangrijk onderdeel is van uw (online) beveiliging, is het nog geen silver bullet.

Een aanvaller kan u nog steeds in de val trachten te lokken via social engineering of phishing. Daarbij zal deze aanvaller een kopie van een website opzetten, zoals de login pagina van uw webmail. Op deze login pagina kan de aanvaller behalve uw gebruikersnaam en wachtwoord ook vragen om de token die u bv. via een smartphone-app hebt verkregen. Met die gegevens kan de aanvaller alsnog inloggen op uw account.

Er bestaan echter al nieuwere varianten van MFA-tokens waarbij de token ook kan verifiëren of de site is wie het beweert te zijn. De extra token die u nodig heeft om in te loggen, wordt daarbij gelinkt aan het websiteadres. Zo zal een valse website zoals “outloook.com” nooit toegang krijgen tot het token die u nodig heeft voor “outlook.com”.

Het blijft dus belangrijk om aandachtig te zijn tijdens het inloggen en nooit blindelings op links in o.a. e-mails te klikken.

 

Indien u meer informatie wenst over MFA of de beveiliging van uw (online) accounts, aarzel dan niet om ons te contacteren via: stijn.crevits@clipeum.be.
Kijk zeker ook eens naar ons vorig artikel waarin we bespreken wat een sterk wachtwoord precies is.

 

Door: Stijn Crevits, 29 september 2020