De verschillende vormen van authenticatie-sms met twee factoren, Autheticator-apps en meer
Veel online services bieden verificatie met twee factoren, waardoor de beveiliging wordt verbeterd doordat u meer nodig hebt dan alleen uw wachtwoord om in te loggen. Er zijn veel verschillende soorten aanvullende verificatiemethoden die u kunt gebruiken.
Verschillende services bieden verschillende twee-factor authenticatiemethoden, en in sommige gevallen kunt u zelfs kiezen uit een paar verschillende opties. Dit is hoe ze werken en hoe ze verschillen.
SMS-verificatie
Met veel services kunt u zich aanmelden om een SMS-bericht te ontvangen wanneer u zich aanmeldt bij uw account. Dat sms-bericht bevat een korte eenmalige code die je moet invoeren. Met dit systeem wordt uw mobiele telefoon gebruikt als de tweede authenticatiemethode. Iemand kan niet zomaar in uw account komen als hij uw wachtwoord heeft - hij heeft uw wachtwoord en toegang tot uw telefoon of zijn sms-berichten nodig.
Dit is handig, omdat u niets speciaals hoeft te doen en de meeste mensen mobiele telefoons hebben. Sommige diensten bellen zelfs een telefoonnummer en een geautomatiseerd systeem spreekt een code, waardoor u dit kunt gebruiken met een vast telefoonnummer dat geen sms-berichten kan ontvangen.
Er zijn echter grote problemen met sms-verificatie. Aanvallers kunnen SIM-swap-aanvallen gebruiken om toegang te krijgen tot uw beveiligde codes of ze te onderscheppen dankzij gebreken in het mobiele netwerk. We raden aan om zo mogelijk geen sms-berichten te gebruiken. Sms-berichten zijn echter nog steeds veel veiliger dan helemaal geen twee-factor-authenticatie te gebruiken!
App-gegenereerde codes (zoals Google Authenticator en Authy)
U kunt uw codes ook laten genereren door een app op uw telefoon. De meest bekende app die dit doet is Google Authenticator, die Google biedt voor Android en iPhone. Wij geven echter de voorkeur aan Authy, dat alles doet wat Google Authenticator doet, en meer. Ondanks de naam gebruiken deze apps een open standaard. Het is bijvoorbeeld mogelijk om Microsoft-accounts en vele andere soorten accounts toe te voegen aan de Google Authenticator-app.
Installeer de app, scan de code bij het instellen van een nieuw account en die app zal ongeveer elke 30 seconden nieuwe codes genereren. U moet zowel de huidige code die wordt weergegeven in de app op uw telefoon als uw wachtwoord invoeren wanneer u zich aanmeldt bij een account.
Hiervoor is helemaal geen mobiel signaal vereist en het "zaadje" waarmee de app die tijdbeperkte codes kan genereren, wordt alleen op uw apparaat opgeslagen. Dat betekent dat het veel veiliger is, omdat zelfs iemand die toegang krijgt tot uw telefoonnummer of uw sms-berichten onderschept, uw codes niet kent.
Sommige services, zoals de Battle.net Authenticator van Blizzard, hebben ook hun eigen speciale code genererende apps.
Fysieke authenticatiesleutels
Fysieke authenticatiesleutels zijn een andere optie die steeds populairder worden. Grote bedrijven uit de technologie- en financiële sector maken een standaard bekend als U2F en het is al mogelijk om een fysiek U2F-token te gebruiken om je Google-, Dropbox- en GitHub-accounts te beveiligen. Dit is slechts een kleine USB-sleutel die u op uw sleutelhanger zet. Wanneer u zich vanaf een nieuwe computer bij uw account wilt aanmelden, moet u de USB-sleutel plaatsen en op een knop drukken. Dat is het - geen typecodes. In de toekomst zouden deze apparaten moeten werken met NFC en Bluetooth voor communicatie met mobiele apparaten zonder USB-poorten.
Deze oplossing werkt beter dan sms-verificatie en codes voor eenmalig gebruik, omdat deze niet kan worden onderschept en gemanipuleerd. Het is ook eenvoudiger en handiger in gebruik. Een phishing-site kan bijvoorbeeld een valse aanmeldingspagina van Google weergeven en uw eenmalige code vastleggen wanneer u probeert in te loggen. Vervolgens kunnen ze met die code inloggen bij Google. Maar met een fysieke authenticatiesleutel die samenwerkt met uw browser, kan de browser ervoor zorgen dat deze communiceert met de echte website en de code kan niet worden vastgelegd door een aanvaller.
Verwacht hier in de toekomst nog veel meer van te zien.
App-gebaseerde authenticatie
Sommige mobiele apps bieden mogelijk twee-factorenauthenticatie met de app zelf. Google biedt bijvoorbeeld nu een codevrije tweefactorauthenticatie zolang u de Google-app op uw telefoon heeft geïnstalleerd. Wanneer u probeert in te loggen bij Google vanaf een andere computer of een ander apparaat, hoeft u alleen maar op een knop op uw telefoon te tikken, zonder code. Google controleert of u toegang heeft tot uw telefoon voordat u probeert in te loggen.
Apple's tweestapsverificatie werkt op dezelfde manier, hoewel het geen app gebruikt - het gebruikt het iOS-besturingssysteem zelf. Wanneer u probeert in te loggen vanaf een nieuw apparaat, kunt u een code voor eenmalig gebruik ontvangen die naar een geregistreerd apparaat wordt verzonden, zoals uw iPhone of iPad. De mobiele app van Twitter heeft een vergelijkbare functie, ook login-verificatie. En Google en Microsoft hebben deze functie toegevoegd aan de Google en Microsoft Authenticator smartphone-apps.
Op e-mail gebaseerde systemen
Andere diensten vertrouwen op uw e-mailaccount om u te authenticeren. Als u bijvoorbeeld Steam Guard inschakelt, vraagt Steam u om telkens wanneer u zich aanmeldt vanaf een nieuwe computer, een code voor eenmalig gebruik die naar uw e-mail wordt verzonden. Dit zorgt er in ieder geval voor dat een aanvaller zowel je Steam-accountwachtwoord als toegang tot je e-mailaccount nodig heeft om toegang te krijgen tot dat account.
Dit is niet zo veilig als andere tweestapsverificatiemethoden, omdat het gemakkelijk kan zijn voor iemand om toegang te krijgen tot uw e-mailaccount, vooral als u geen tweestapsverificatie gebruikt! Vermijd e-mailgebaseerde verificatie als u iets sterkers kunt gebruiken. (Gelukkig biedt Steam app-gebaseerde authenticatie op zijn mobiele app aan.)
The Last Resort: Recovery Codes
Herstelcodes bieden een vangnet voor het geval u de verificatiemethode met twee factoren verliest. Wanneer u authenticatie met twee factoren instelt, krijgt u meestal herstelcodes die u moet opschrijven en ergens op een veilige plaats opslaan. Je hebt ze nodig als je je tweevoudige verificatiemethode verliest.
Zorg dat u ergens een kopie van uw herstelcodes heeft als u authenticatie in twee stappen gebruikt.
U zult niet zoveel opties voor elk van uw accounts vinden. Veel services bieden echter meerdere tweestapsverificatiemethoden waaruit u kunt kiezen.
Er is ook de mogelijkheid om meerdere twee-factor authenticatiemethoden te gebruiken. Als u bijvoorbeeld zowel een code-genererende app als een fysieke beveiligingssleutel instelt, kunt u via de app toegang krijgen tot uw account als u ooit de fysieke sleutel kwijtraakt.