De afgelopen week is er veel te doen om het Heartbleed lek, waarmee mogelijk diverse wachtwoorden en andere gevoelige informatie openbaar is gekomen. Steeds vaker zijn de wachtwoorden van grote online diensten, webwinkels en e-mail providers het doelwit van hackers en het digitale boevengilde. Is een loginnaam en een wachtwoord nog wel voldoende? Met 2 Factor Authenticatie maak je een extra beveiligingslaag op je gegevens. We laten in dit artikel zien wat het is en hoe je het kunt instellen.
Wat is 2 Factor Authenticatie?
2 Factor Authenticatie of Two Factor Authentication (TFA) is een manier om je online accounts beter te beveiligen. Naast het wachtwoord bij je account voer je met TFA een extra code in die je genereert via een voor jouw persoonlijk apparaat.
TFA is een authenticatie proces waar twee van de drie factoren nodig zijn om je als valide gebruiker te herkennen
Iets wat weet – Dit is je wachtwoord, pincode, toegangszin of een vergelijkbare code.
Iets wat je hebt – Hierbij kun je denken aan een smartcard, een pas of andere hardware.
Iets wat je “bent” – Dit is bijvoorbeeld je vingerafdruk, patroon van je iris, stemherkenning of je hartslag.
TFA werkt als twee van de drie correct zijn gebruikt.
Een voorbeeld van alledag: Als je gaat pinnen heb je twee zaken nodig: Een pas en je pincode. Je bankpas is iets wat je hebt, je pincode weet je. Met deze combinatie krijg je toegang tot je bankrekening. Als iemand je pas heeft, maar je pincode niet weet, dan houdt het op. Andersom is dat identiek, er staat een lijst online met alle pincodes, maar zonder bankpas kom je niet ver.
Steeds meer webdiensten maken gebruik van TFA om toegang beter te beveiligen. Hierbij maken ze gebruik van een smartphone-app om een extra code te genereren die je moet invoeren. De meest gebruikte app is Google Authenticator, anderen zijn AlterEgo en Authy.
Hoe werkt deze authenticatie?
Het goede nieuws is dat je TFA redelijk snel kunt instellen en dat het bij elke dienst op vrijwel dezelfde manier werkt. Het slechte nieuws is dat je het tot op heden altijd zelf moet instellen en je soms moet zoeken waar je de configuratie doet.
TFA werkt op elke site volgens vrijwel hetzelfde principe: Na het geven van je loginnaam en wachtwoord moet je een extra code of tekst invoeren die je via een extra app als Authenticator of via SMS ontvangt. Pas na invoeren van deze extra code krijg je toegang tot het beveiligde deel van de site. Als een website TFA aanbiedt, zul je het vaak zelf moeten activeren. Wij laten je zien hoe je TFA instelt voor Google Gmail. De werkwijze is vrijwel identiek voor elke andere dienst die TFA aanbiedt, maar soms zullen namen en termen iets van elkaar verschillen. Zet de presentatie op full-screen om de schermen goed te bekijken.
Waar gebruik je het?
Nog niet elke grote dienst biedt 2 Factor Authenticatie aan, maar ik vermoed dat met het Heartbleed lek dit wel meer gemeengoed zal gaan worden. TFA is volgens mij een opmaat naar een nieuwe manier van identificatie en authenticatie voor online diensten. Uiteindelijk zal dit niet meer met codes gebeuren, maar met biometrische diensten als je hartslag of de iris van je oog. Tot die tijd is TFA een prima manier om je online gegevens beter te beveiligen. Evan Hahn heeft een fraaie lijst met diensten gemaakt inclusief directe links naar de activatiepagina. Gebruik die pagina als startpunt om je accounts te beveiligen. Het kan zijn dat TFA niet voor Nederland is ingesteld, hou daar dus rekening mee.
Let op: TFA geeft je een betere beveiliging maar het is nog steeds niet 100% waterdicht. Onderzoekers hebben de beveiliging van Dropbox al weten te omzeilen. En als je TFA al gebruikt, is het verstandig om de codes opnieuw te genereren, omdat het Heartbleed lek mogelijk effect heeft op je TFA codes. Blijf dus alert op veranderingen in je accounts.
Meer informatie
Wil je meer weten over 2 Factor Authenticatie? Onderstaand vind je een aantal bronnen die je verder helpen en meer achtergrond geven over de werkwijze van TFA.
Passwords are obsolete – Medium
Veiligheidslek Heartbleed blijkt nog groter – NRC
Google gaat two-factor-authenticatie verplichten – Tweakers
Onderzoekers omzeilen twee-factor authenticatie Dropbox – Security.nl
What Heartbleed means for Two-Factor Authentication
Here’s Everywhere You Should Enable Two-Factor Authentication Right Now
The critical, widespread Heartbleed bug and you: How to keep your private info safe
Paul Kouwen
Je kunt ook gebruikmaken van duo security https://www.duosecurity.com/ ze hebben ook een wordpress plugin om dit op wordpress te gebruiken https://wordpress.org/plugins/duo-wordpress/
Wij gebruiken dit op een aantal sites naar volle tevredenheid.
Henri Koppen
Mooi dat 2 factor authenticatie onder de aandacht wordt gebracht. Mensen die al heel veel accounts en gekoppelde apps hebben zullen we even door een fase heenmoeten als ze hiermee beginnen. Zeker in het begin is het een gedoetje en ook als je het op de telefoon zelf nodig hebt moet je dus tussen apps switchen om het nummer te zien en in te voeren.
Nog een paar andere tips: Leuk als je je email (GMAIL) 2 factor aanzet, maar denk ook na over je backup of restore email account! Daarnaast zul je apps vaak ook toegang geven tot je data met tokens. Die gebruiken dit dus niet.
Dan een laatste tip: als je een email adres gekoppeld hebt aan je eigen domein, zorg er dan ook voor dat de dienst goede processen voor beveiliging heeft. Als iemand jouw DNS instellingen kan aanpassen kan diegene je email gewoon ergens anders laten binnenkomen.
Maar het belangrijkste is: Gewoon even doorzetten, het kost wat moeite maar zal je mogelijk besparen tegen het moment waarop je ineens beseft dat je “de Sjaak” bent. Het gevoel dat je ineens controle begint kwijt te raken is niet tof. En gezien de ontwikkelingen wordt het hacken van accounts alleen nog maar erger….
Comments are closed.