Wat is Multi-Factor Authenticatie (MFA)/ Two-Factor Authenticatie (2FA)?
Kort samengevat is Multi-Factor Authenticatie (MFA) een authenticatie methode waarbij de online gebruiker twee stappen succesvol moet doorlopen om ergens toegang tot te krijgen. Dit soort authenticatie wordt ook wel Two-Factor Authenticatie (2FA) genoemd. Hoewel ‘ two-factor authenticatie’ een populaire term blijft, is MFA steeds meer de overkoepelende term geworden.
De eerste stap is het invoeren van een gebruikersnaam en wachtwoord, dit is tegenwoordig de meest voorkomende vorm van authenticatie. Sinds het aanmaken van individuele gebruikersaccounts voor computer- en applicatietoegang zijn gebruikersnamen en wachtwoorden de norm. Het wachtwoord is de populairste en een van de meest gebruikte veiligheidsmaatregelen, maar vaak ook de meest kwetsbare. In de Verenigde Staten is bijvoorbeeld een e-mailadres gemiddeld aan 130 verschillende gebruikersaccounts gekoppeld. Van de gebruikers gebruikt zelfs 2/3 hetzelfde wachtwoord voor meerdere accounts, dit kan grote gegevenslekken veroorzaken.
De tweede stap is dat je naast het ingeven van je inlognaam en wachtwoord een tweede sleutel dient in te geven om in te kunnen loggen. Een aantal voorbeeld mogelijkheden zijn: Het ontvangen van een sms-code, het ontvangen van een aanmeldingsverzoek in een gekoppelde app op je smartphone of het overnemen van een gegeneerde code. Alleen deze combinatie zorgt ervoor dat je toegang krijgt.
Tegenwoordig kunnen pasjes met PIN het loginscherm vervangen. Je scant je pasje (stap 1) en voert daarna een PIN/wachtwoord in (stap 2). Een bankpas in combinatie met een pincode is een simpel voorbeeld van een two-factor authentication. Wanneer een van de cruciale onderdelen ontbreekt (bankpas of pincode) kan er geen toegang worden verkregen tot de rekening.
De 5 Authenticatiefactoren
We kunnen authenticatiemiddelen in vijf categorieën (of factoren) indelen: iets dat je weet, iets dat je bent, iets dat je hebt, locatie en tijd. Als het op beveiliging aankomt, dan heeft elke factor andere eigenschappen.
- 1. Iets dat je weet – Deze eerste factor kennen we allemaal: de gebruikersnaam en het wachtwoord. Daarnaast vallen de beveiligingsvragen hier ook onder. Het combineren van een gebruikersnaam en wachtwoord met een beveiligingsvraag wordt nog steeds beschouwd als single-factor authenticatie, omdat ze beide in deze categorie vallen.
- 2. Iets dat je bent – Deze authenticatiefactor omvat alle biometrische gegevens die als referenties kunnen dienen. Voorbeelden zijn vingerafdrukken, gezichtsherkenning of irisscans. Dit type authenticatie is steeds populairder geworden bij mobiele apparaten met ingebouwde vingerafdrukscanners en gezichtsherkenning. Deze middelen zijn gemakkelijk in gebruik. Je hebt je vingerafdruk immers altijd bij je en die raak je ook niet zomaar kwijt.
- 3. Iets dat je hebt – Hieronder vallen items zoals sleutelkaarten en hardware tokens. Eenmalige wachtwoorden die via een sms of e-mail naar mobiele telefoons van gebruikers worden verzonden, worden in toenemende mate ook onder deze factor ingedeeld. Het gebruik van mobiele apparaten helpt het risico van verlies van fysieke items te bestrijden. In sommige systemen fungeert het apparaat van de gebruiker zelf als een factor in deze categorie, nadat het is gemarkeerd als een “vertrouwd apparaat”.
- 4. Locatie – Verwijst naar de geografische of netwerkbeperkingen die kunnen worden toegevoegd aan authenticatiemethoden voor extra beveiliging. Gebruikers hebben bijvoorbeeld alleen toegang tot een applicatie wanneer ze zich binnen het bedrijfsnetwerk of in een specifiek land bevinden.
- 5. Tijd – Verwijst naar eventuele beperkingen die kunnen worden toegevoegd om authenticatie binnen een bepaald bereik van uren te houden. Op tijd gebaseerde factoren biedt beveiliging als uw gebruikers alleen binnen een bepaalde periode mogen inloggen – bijvoorbeeld tussen 09.00 en 17.00 uur.
Waarom is MFA een oplossing?
Er zijn veel voordelen verbonden aan Multi-Factor Authenticatie:
- Betere beveiliging: Niet alleen omdat je diefstal van wachtwoorden voorkomt, maar ook omdat het inloggen met alleen een gebruikersnaam en wachtwoord kwetsbaar is voor brute-force-aanvallen of social engineering/ social hacking.
- Vereenvoudiging van aanmeldingsprocedure: Je zou denken dat MFA het aanmeldproces bij accounts ingewikkelder maakt. Echter, kunnen bedrijven dankzij de extra beveiliging van MFA meer geavanceerde aanmeldingsopties gebruiken, zoals Single Sign-On, eenmalig inloggen. Door het loginscherm te vervangen met een pasje vereenvoudigt de aanmeldingsprocedure enorm. Gebruikers hoeven daarna alleen nog maar een PIN of wachtwoord in te voeren.
- Een stap richting conformiteit: De AVG verplicht je een systeem op te zetten die de beheersing van bepaalde data optimaliseert. Dat geldt vooral bij het beschermen van gevoelige gegevens zoals persoonlijk identificeerbare informatie of financiële gegevens. Dat betekent dat MFA een stap is die nodig is voor conformiteit.
- Essentieel onderdeel van cybersecurity: Met de toename van cloudapplicaties is er ook een verhoogd risico op gegevenslekken. MFA is een van de betere veiligheidsmaatregelen om je organisatie, gebruikers en gevoelige gegevens te beschermen.
Gebruik daarom waar mogelijk multifactor authenticatie!
Echter! Het idee dat sterke wachtenwoorden of de inzet van MFA-oplossingen (bedrijfs-)netwerken veilig kunnen houden is fundamenteel onjuist.
Het probleem met wachtwoorden is dat ze inherent onveilig zijn. En als ze de primaire authenticatiefactor vormen, maakt dat het complete authenticatieproces onveilig.
MFA-oplossingen die onder meer gebruikmaken van eenmalige codes, bevestigingen via sms-berichten, mobiele pushmeldingen en beveiligingsvragen zou je kunnen zien als een schuifdeur die je voor een andere schuifdeur plaatst om mensen de toegang tot een kamer te ontzeggen. Ze maken het hackers een beetje lastig, maar bieden altijd onvoldoende bescherming.
MFA hacken met valse aanmeldpagina’s
Bij phishing-aanvallen maken cybercriminelen gebruik van misleiding om gebruikers over te halen tot het prijsgeven van hun gebruikersnaam en wachtwoord. Multi-factorauthenticatie lijkt een goed wapen tegen phishing-aanvallen, maar is dat niet. Het enige wat hackers hoeven te doen, is het tweede wachtwoord of de aanvullende pincode van de gebruiker te bemachtigen.
Dat kunnen ze onder meer doen door een nagebootste aanmeldingspagina in het leven te roepen. Als een argeloze gebruiker daar de code invoert, kunnen hackers die gebruiken om in te loggen via de echte aanmeldingspagina. Deze truc werkt ook als er voor de authenticatie gebruik wordt gemaakt van verschillende kanalen. En ja, dat gebeurt echt! Kijk hier voor een voorbeeld van een grootschalige phishing-campagne waarbij deze techniek werd toegepast op accounts van gebruikers van Google, Yahoo en ProtonMail.
MFA hacken met SIM swapping
Soms is het voor een hacker niet eens nodig is om je tweede authenticatiefactor buit te maken. Hij kan de beveiligingscode direct naar zichzelf laten doorsturen zodra je je ergens probeert aan te melden.
Dat is mogelijk als je een inlogcode naar je mobiele telefoon laat sturen. Een hacker gebruikt dan een techniek dat we SIM-swapping noemen. Het enige dat die hoeft te doen, is bellen met je mobiele provider en met een paar social engineering-trucs te overhalen om jouw mobiele nummer op zijn of haar naam te zetten. Lees hier de Veilig Digitaal special omtrent sim-swapping.
MFA hacken met een man in the middle-aanval
Een man in the middle-aanval is precies wat de naam zegt. Hierbij plaatst hacker een systeem tussen de client en de server in om al het dataverkeer van de gebruiker te onderscheppen, met inbegrip van de tweede authenticatiefactor die deze invoert.
Hackers kunnen op die manier ongezien systemen binnendringen. Deze techniek wordt ook wel sessiekaping genoemd. Een ontluisterende video van de chief hacking officer van KnowBe4 laat zien hoe dit in zijn werk gaat. Lees hier de Veilig Digitaal special omtrent een Man-in-the-Middle aanval.
MFA hacken via een man in the endpoint-aanval
Dit type aanval gaat gepaard met de installatie van malware op een endpoint. Zodra je identiteit is geverifieerd voert deze malware kwaadaardige sessies op de achtergrond uit.
Stel bijvoorbeeld dat een werknemer zich aanmeldt op een HR-systeem om verlof aan te vragen. Hierop wordt een verborgen sessie gestart waarvan alleen de hacker weet heeft. Deze kan vervolgens de bankrekening wijzigen waarop het elke maand het salaris van de werknemer wordt gestort.
MFA hacken door het kraken van de passcode generator
Veel MFA-oplossingen maken gebruik van een algoritme dat eenmalige wachtwoordcodes genereert. Dit gebeurt op basis van een ‘seed number’: een begingetal dat als uitgangspunt dient voor het generen van willekeurige codes.
Hoewel dit tot de complexere authenticatiemethoden behoort, is het hackers gelukt om algoritmes en seed nummers te ontleden en om vervolgens zelf correcte wachtwoordcodes te genereren. Je zou het kunnen vergelijken met het meten van een sleutelgat en het op basis daarvan vervaardigen van een sleutel die op het slot past. Klinkt dat vergezocht? Lockheed Martin weet inmiddels beter.
Cybersecurity is werk in uitvoering
Cybercriminelen vinden voortdurend nieuwe manieren om MFA-oplossingen in alle soorten en maten te omzeilen. Dat komt omdat deze oplossingen niet meer dan een pleister op een wond vormen. En die wond heeft de vorm van een zwakke authenticatiefactor die aan de basis van deze oplossingen staat, namelijk het wachtwoord.
De les die we hieruit kunnen trekken is dat het toevoegen van nieuwe authenticatiefactoren de beveiliging nooit zal kunnen verbeteren als MFA-oplossingen gebruik blijven maken van wachtwoorden als primaire authenticatiefactor. (bron:Techzine / Tools4ever / Veilig Digitaal)