Tag “Verander uw wachtwoord”? Beter: “Activeer 2FA”!


Elk jaar op 1 februari viert een deel van de IT-industrie de “Change your password”-dag. Het is bedoeld om u eraan te herinneren dat een oud wachtwoord niet veilig is en dat het regelmatig wijzigen van het wachtwoord meer toegangsbeveiliging biedt. Dit is echter nauwelijks bevorderlijk voor de beveiliging van accounts, in feite is het zelfs schadelijk.

Want de gedwongen verandering zonder aanleiding zorgt ervoor dat de keuze valt op makkelijk te onthouden wachtwoorden, die worden aangevuld met makkelijk te raden doorlopende patronen. Het wachtwoord dat is gewijzigd van “Password2021#Q1” naar “Password2022#Q1” biedt geen betere beveiliging – integendeel.

Daarnaast zijn datalekken, waarbij de huidige wachtwoorden in het publieke domein terechtkomen, inmiddels aan de orde van de dag. De inbraken waarbij toegangsdatabases worden gekopieerd, komen nu zo vaak voor dat ze alleen in speciale gevallen voorkomen helemaal een bericht leiden in de media.

Als het wachtwoord één keer per jaar wordt gewijzigd, hebben datadieven alle tijd om in en bij gestolen toegang rond te kijken en zo nodig grappen uit te halen. Het is moeilijk voor te stellen wat er mogelijk is als zo’n wachtwoord ook wordt gebruikt gebruikt voor meerdere diensten komt.

de suggestie van heise security redactie is daarom: al lange tijd waar mogelijk tweefactorauthenticatie (2FA) geactiveerd. Met een gestolen gebruikersnaam en wachtwoord worden daders dan geconfronteerd met een gesloten deur – de tweede factor ontbreekt. De herdenkingsdag van vandaag moet daarom worden omgedoopt tot “Tag tweefactorauthenticatie inschakelen”. Online gebruikers kunnen 2FA meestal eenvoudig activeren bij hun e-mailprovider of in het gebruikersprofiel van inkoop- en verkoopplatforms. Een kleine klik die veel meer veiligheid brengt.

Voor de tweede factor kan een zogenaamde authenticator worden gebruikt. Zo wordt met een smartphone-app een eenmalig wachtwoord aangemaakt (Time-based One-time Password Algorithm, TOTP) dat maar heel kort geldig is. Naast de gebruikersnaam en het wachtwoord bewijst de gebruiker dus dat hij daadwerkelijk de eigenaar is van de toegang. De extra inspanning is minimaal, de veiligheidswinst enorm.

Daarnaast wordt de tweede factor meestal maar één keer gecontroleerd: gebruikers authenticeren hun browser of de app, en de goedkeuring komt terecht in een cookie. Het wordt pas opnieuw gevraagd wanneer de cookie is verwijderd of een bepaalde tijd is verstreken sinds de laatste authenticatie.

Hoewel sommige diensten sms ook als tweede factor aanbieden, wordt dit niet langer als veilig beschouwd. Er zijn altijd succesvolle aanvallen waarbij aanvallers de sms onderscheppen en zo ongeoorloofde toegang krijgen. Dit mag daarom alleen als noodoptie worden gebruikt.

Dat 2FA een uitstekend idee is, blijkt wel uit uw eigen toegangsgegevens op de websites van de Identity Leak Checkers van het Hasso Plattner Institute of des Ben ik een Pwned-project geweest? (HIBP) vaak bewijzen. Na het invoeren van een e-mailadres (beide dienstenaanbieding) of een wachtwoord (alleen ondersteund bij HIBP), krijgt u een reactie of de gegevens in een datalek zijn verschenen.

Als dat zo is, zullen daders de gegevens vrijwel zeker gebruiken voor inbraakpogingen, bijvoorbeeld als onderdeel van hun lijst met wachtwoorden om te proberen. Ze controleren ook vaak de e-mailadressen van dergelijke datalekken en gebruiken deze voor SPAM en phishing. De kortstondige eenmalige wachtwoorden verschijnen natuurlijk niet – en bieden dus een betere bescherming.


(dmk)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: