2FA_01
Tom

Tom

Waarom je alles uit je handen moet laten vallen en onmiddellijk overal 2FA moet inschakelen

Als je dit nog niet hebt gedaan nadat je de titel van dit artikel hebt gezien, stop dan onmiddellijk met lezen en schakel 2-factor-authentication () in op elk systeem en elke service die je gebruikt. De realiteit is dat het niet uitmaakt hoe sterk jouw wachtwoord ook is – zelfs dat uit 48 tekens bestaat uit hoofdletters en kleine letters, cijfers en symbolen – het is niet sterk genoeg als jouw pc en/of browser wordt gehackt en jouw inloggegevens worden gestolen. Elke dag worden er miljoenen browsers en/of pc’s van gebruikers voor dit doel gehackt en dat neemt alleen maar toe.

Hoewel dit een paar jaar geleden misschien nog hysterisch klonk, is elk systeem aangesloten op het internet (dus ook jouw pc, , tablet, smarttv, webcam en elk ander IoT apparaat) een doelwit. 2FA is op dit moment de minimale (en tevens allerbeste) beveiliging die je kunt aanbrengen, maar nog veel te vaak maakt men hier geen gebruik van.

Zie hier: https://hackblock.nl/glossary/2-factor-authentication/ uitleg over hoe 2-factor- werkt.

’s zijn echt en 2FA is onze beste verdediging

Onderzoek wijst helaas uit dat veel mensen de gevaren van gestolen login accounts niet erg serieus nemen. Maar kijk eens wat verder. Stel, je ontvangt een e-mail van je provider waarin staat dat jouw (cloud) leveranciers worden aangevallen door cybercriminelen die jouw inloggegevens willen stelen. Daarnaast zie je dat de pers en (sociale) media berichten over gerichte aanvallen op leveranciers of meer specifiek, pogingen om in te loggen bij accounts waarvan de inloggevens gestolen zijn. Ga dan eens googelen op wat de media melden en je zult er snel achter komen dat de dreiging meestal reëel is en geen hype.

Enkele jaren geleden, toen de term geavanceerde persistente dreiging (Advanced Persistent Threath, APT) voor het eerst in het beveiligingslexicon werd ingevoerd, beschouwden de meeste beveiligingsprofessionals het als een marketingterm. Een term die werd gebruikt om elke aanval te duiden die te geavanceerd was om door de eerste verdedigingslinies (, antivirus e.d.), die de meeste grote organisaties toen wel op orde hadden, te worden afgeslagen. Vandaag de dag leven we in een wereld waar cybercriminelen zeer actief op zoek zijn naar methoden om systemen op alle niveaus te compromitteren, en waar wachtwoorden een van de gemakkelijkste en beste doelen zijn. Daarom is 2FA geen “nice-to-have” meer – het is een zeer noodzakelijke bescherming! Geen enkele, zichzelf serieus nemende organisatie kan het zich nog veroorloven om 2FA niet in te zetten.

De vraag naar 2FA is sterk in opkomst

Als het gaat om de verschillende soorten 2FA, zijn de meesten professionals bekend met tools zoals RSA Security’s product “SecurID” en de vele op certificaten gebaseerde methoden die al vele jaren (voor professionals) beschikbaar zijn.

Maar deze markt is de laatste jaren compleet op zijn kop gegaan met de komst van van gratis tools zoals Google Authenticator en de Authenticator-app van Microsoft tot meer onafhankelijke oplossingen zoals Duo, Authy, LastPass Authenticator (deze laatste is extra beveiligd met een pincode of vingerafdruk) en de Yubico Authenticator (welke via /NFC is te beveiligen met de Yubikey Neo). Deze hulpprogramma’s (zie hier een overzicht) maken allemaal gebruik van de smartphones van gebruikers en een wiskundig algoritme dat overeenkomsten vertoont met een SecurID-token en dat een ​​code genereerd die moet worden ingevoerd tijdens het inloggen.

 

Ook zijn er diverse USB hardware-tokens, zoals bijvoorbeeld de Yubikey (meest bekende), Thetis en Feitan Multipass. Deze zijn technisch veiliger dan de software authenticators, maar als je als organisatie alle USB poorten fysiek uit de pc’s hebt verbannen is dit geen goede keuze. USB poorten uit pc’s halen is vanuit beveiligingsperspectief een zeer goed beleid en dat moet je niet opgeven voor een hardwaretoken.

Veel ondernemingen gebruiken een of andere vorm van 2FA om hun interne omgeving te beschermen, maar particulieren doen dit nog veel te weinig. Hoewel je 2FA voor LinkedIN, Facebook, Twitter, Gmail, en vele, vele andere sociale-mediaservices kunt inschakelen, is dit nog steeds geen vanzelfsprekende gewoonte. Gelukkig neemt de vraag naar deze beveiligingsmaatregel toe, waardoor steeds meer leveranciers van clouddiensten 2FA leveren.

2FA Gebruik loopt achter terwijl het aantal accountovernames sterk oploopt

Het is in dit licht zelfs verbazingwekkend te noemen dat zelfs als 2FA wordt aangeboden, veel eindgebruikers er nog steeds geen gebruik van maken. Gebruikers vinden het lastig en nemen het risico voor lief dat ze gehackt worden. Tijdens een recente USENIX-conferentie in Californië heeft -technicus Grzegorz Milka aangegeven dat minder dan 10 procent van de actieve Gmail-gebruikers 2FA gebruiken. Hoewel dit niet een-op een is te vertalen naar het aantal zakelijke gebruikers dat 2FA in gebruik heeft voor externe sites, is er niet veel verbeelding nodig om deze trend door te trekken naar het zakelijke leven.

Om het nog erger te maken, onthulde een rapport dat onderzoeker Martin McKeay voor Akamai opstelde dat 43% van de logins die via de meeste sites werden ingediend, pogingen tot accountovername zijn. Het is zeer waarschijnlijk te noemen dat veel organisaties geen gebruik maken van 2FA in de cloud, tenzij hun bedrijfsbeleid dit vereist en het beveiligingsteam audits uitvoert.

Beveiligingsprofessionals moeten het goede voorbeeld geven

Vergis je niet: “the bad guys” zijn op zoek naar jouw inloggegevens. “Punt aan de lijn” zoals onze zuiderburen (de Vlamingen) zeggen. En het wordt voor bedrijven pas echt link wanneer de login die ze te pakken proberen te krijgen niet je zwaar beveiligde bedrijfswachtwoord is, maar dat van je cloud-gebaseerde provider of een andere service waarop de organisatie vertrouwt om zaken te doen. Het verkrijgen van toegang tot het zakelijke Twitter-account is een “old-school” tactiek, maar de impact verbleekt in de ravage die een aanvaller zou kunnen aanrichten door een beheerdersaccount van een van jouw cloud-gebaseerde services te compromitteren. De aanvaller springt op deze wijze als het ware gewoon over alle door het bedrijf geïmplementeerde beveiligingsmaatregelen heen en “wandelt” via de achterliggende service provider gewoon binnen.

Als bedrijfsleven moeten we eisen dat elke leverancier die we inschakelen 2FA aanbiedt en zelf ook gebruikt. Medewerkers moeten niet de keuze hebben 2FA niet in te schakelen, dit moet door beleid en de aanmeldprocedure afgedwongen worden. Maar als individuen moeten we ook alert zijn en 2FA waar mogelijk ook daadwerkelijk inschakelen, zelfs als dit niet verplicht is volgens het bedrijfsbeleid. Het is aan ons, de beveiligingsspecialisten, om het goede voorbeeld te geven. 2FA is een van de meest impactvolle beschermende maatregelen die we kunnen uitvoeren om onze accounts te beschermen en te voorkomen. Stop dus met lezen en zoek uit wat je moet doen om deze onschatbare beveiligingsmaatregel voor zoveel mogelijk (liefst alle) toepassingen in te schakelen!

Deel deze post op:

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest

Blog Archief

Selecteer een maand

Zoek in het archief

Stel een vraag