Authenticatiemethoden, moeheid en manipulatie: hoe zorg je voor goede multifactorauthenticatie in jouw organisatie?
Om te beginnen met een open deur: informatiebeveiliging op orde hebben is belangrijk. Je privacybeleid kan nog zo sterk zijn, maar als de informatiebeveiliging niet op orde is heeft het weinig zin. Onderdeel daarvan is voorkomen dat mensen toegang krijgen tot plekken of systemen waar dat niet de bedoeling is, zeker als ze kwade bedoelingen hebben.
Voor particulieren is dat belangrijk, bijvoorbeeld vanuit privacy-oogpunt, maar voor organisaties des te meer. Organisaties beschikken immers over (bedrijfs)gevoelige informatie, en het lekken daarvan kan veel schade opleveren. De meest eenvoudige manier om dat te doen is door te vragen om een (uniek en moeilijk te raden) wachtwoord (of beter: passphrase). Tegenwoordig besteden securityprofessionals dan ook veel aandacht aan wachtwoordbeheer: gebruik hetzelfde (moeilijke) wachtwoord niet op meerdere plekken en gebruik een wachtwoordmanager.
Toch kunnen wachtwoorden altijd lekken: door nalatigheid van individuen, door een beveiligingsincident, of door bruteforcing [1]. Voor een organisatie met honderden medewerkers is dit risico alleen maar groter en een enkel lek kan grote gevolgen hebben. Zeker toen mensen door de coronapandemie massaal thuis moesten gaan werken, steeg het aantal datalekken sterk. Ook nadien is thuiswerken steeds meer de norm gebleven. Daarom is het aan te bevelen om een extra controlelaag toe te voegen om te checken of degene die probeert in te loggen wel degene is die ze beweren te zijn. In deze blog bespreek ik multifactorauthenticatie (MFA), een manier om beter te beschermen tegen ongeautoriseerde toegang: wat het is, verschillende methoden, het belang ervan en geldende best practices. [2]
Bij MFA moet iemand die inlogt naast het invoeren van een wachtwoord op een andere manier hun identiteit bevestigen. Dit kan bijvoorbeeld op basis van iets wat alleen jij weet (“Hoe heette je eerste huisdier?”, de meesten welbekend) of iets wat alleen jij hebt (een telefoon, bijvoorbeeld.) Zo wordt het risico gespreid en leidt een enkel lek niet direct tot ongeautoriseerde toegang.
Multifactorauthenticatie: risico's en maatregelen
Tegenwoordig maken steeds meer diensten gebruik van MFA. Bijna iedereen komt dit wel eens tegen, bijvoorbeeld bij het inloggen bij overheidsdiensten via DigiD of tijdens het internetbankieren. MFA kan op een aantal manier plaatsvinden. De bekendste voorbeelden zijn verificatie via SMS-controle, e-mail of een speciale app, maar identificatie via een vingerafdruk of gezichtsherkenning is ook mogelijk.
Niet alle hiervoor genoemde methoden zijn even betrouwbaar, wel is het altijd beter om wel MFA te toe te passen in plaats van niet. Een risico dat vooral bij SMS of e-mail speelt is MFA fatigue of push bombing. Dat wil zeggen dat actoren te kwader trouw herhaaldelijk autorisatieverzoeken versturen net zo lang tot de gebruiker in een vlaag van vermoeidheid of onoplettendheid zijn identiteit bevestigt. Op het eerste gezicht klinkt het alsof deze methode weinig kansrijk is, maar bijna iedereen heeft wel eens een film gezien waarin de verdachte breekt na urenlange politieverhoren. Door MFA fatigue proberen criminelen op dezelfde manier iemand uit te putten, en wederom: de zwakste schakel bepaalt hoe sterk de beveiliging is. Er hoeft maar één iemand te zwichten. Push bombing is een vorm van social engineering. Dat zijn technieken waarmee kwade actoren, zoals hackers of cybercriminelen, iemand door manipulatie zo ver proberen te krijgen om vertrouwelijke informatie, zoals wachtwoorden of bedrijfsgeheimen, prijs te geven.
Authenticatie-apps, zoals de veel gebruikte Microsoft Authenticator app, gebruiken daarom vaak numbers matching. Dat wil zeggen dat degene die toegang probeert te krijgen een (meestal twee- of driecijferige) code moet invoeren die op een ander apparaat verschijnt. Hoewel het voor gebruikers af en toe vervelend kan zijn om steeds een code in te moeten voeren, verlaagt numbers matching het risico op MFA fatigue doordat gebruikers het toegangsverzoek niet kunnen toestaan zonder een code in te voeren die op het loginscherm zichtbaar is. Elke opeenvolgende inlogpoging leidt ertoe dat een andere code moet worden ingevoerd, waardoor push bombing sterk aan effectiviteit inboet.
De Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) ziet numbers matching MFA als de op één na beste MFA-methode, na phishing-resistant MFA [3].
Liever helemaal géén wachtwoord?
Die laatste wordt nog maar weinig gebruikt, maar is wel interessant. Wachtwoordloos inloggen heeft de toekomst, roept men al enige tijd [4]. Het idee erachter is dat de zwakste schakel die ik hiervoor benoemd heb, de menselijke factor, uit de vergelijking wordt gehaald. Het cryptografische gedeelte hiervan is vrij ingewikkeld en zal ik hier niet in detail bespreken, maar het komt er in feite op neer dat een publieke sleutel en een privésleutel aangemaakt worden. Die privésleutel wordt lokaal op je apparaat opgeslagen. De publieke sleutel wordt bewaard door de website waar je probeert in te loggen. Wanneer je dan inlogt bij deze website worden de privésleutel en de publieke sleutel aan elkaar gematcht. Als deze match succesvol is word je vervolgens ingelogd.
Hierdoor is inloggen met een wachtwoord en MFA niet meer nodig. Voor jou als gebruiker betekent dat praktisch dat je alleen je eigen apparaat hoeft te ontgrendelen. De nadelen van wachtwoorden onthouden zijn bekend: doordat iedereen tegenwoordig voor zo veel verschillende platforms een wachtwoord nodig heeft is het onmogelijk deze allemaal te onthouden en dus is het verleidelijk om voor meerdere plekken hetzelfde wachtwoord te gebruiken. Dit vergroot de kans op het potentiële risico van lekken. Het gebruik van een wachtwoordmanager verkleint dit risico, maar is ook niet feilloos. Een wachtwoord kan nog steeds lekken en ook met tweestapsverificatie kan misbruik niet voor 100% worden uitgesloten, vanwege de hiervoor besproken social engineering technieken. Handmatig een cijfercode moeten invullen is bovendien omslachtig.
De voornaamste reden dat websitebeheerders deze methode in de praktijk nog maar zelden gebruiken is waarschijnlijk vooral dat het nieuw is, en dat alle begin moeilijk is. Nu steeds meer grote techbedrijven FIDO-protocollen [5] in hun software ondersteunen, zal de toegankelijkheid wel toenemen [6]. Het leuke is dat mensen die geïnteresseerd zijn (en ik hoop dat degenen die tot hier hebben doorgelezen dat zijn) zelf op een laagdrempelige manier kunnen uitproberen hoe deze methode werkt via https://webauthn.io/. Zo kan je met behulp van je smartphone heel eenvoudig je identiteit verifiëren. Probeer het zelf! Een theoretisch verhaal heeft immers zo zijn beperkingen en kan intimiderender overkomen dan het daadwerkelijk is. Dat valt echter reuze mee, zeker als je van katten houdt.
Tussenstand
In dit blog heb ik een aantal vormen van MFA besproken, en dan vooral het belang ervan en de voor- en nadelen van verschillende methoden. De belangrijkste boodschap die ik heb willen overbrengen is: iedere vorm van MFA is beter dan niets! Een ‘extra’ slot op de deur zorgt ervoor dat inbrekers moeilijker binnenkomen, ook als die mogelijkheid niet volledig kan worden uitgesloten. De afwegingen die op dat gebied gemaakt worden hangen ook af van de ingeschatte risico’s.
Ook is aan de orde gekomen dat binnen de overkoepelende term MFA nog wel wat onderscheid te maken valt tussen verschillende manieren van authenticatie, met uitleg waar die verschillen in zitten en waaróm de ene vorm net iets kwetsbaarder is dan de andere.
Het creëren van awareness en het inzetten van authenticatiemiddelen en wachtwoordmanagers om de kans op beveiligingsincidenten te verminderen is onverminderd belangrijk. Maar hoe je het ook wendt of keert, de menselijke factor blijft als puntje bij paaltje komt altijd de zwakste schakel. Wachtwoorden kunnen áltijd lekken en geen enkele methode is volledig waterdicht. Om de menselijke factor uit de vergelijking te halen bestaat vanuit de industrie veel enthousiasme en optimisme over een toekomst van wachtwoordloos inloggen. In dit blog heb ik daarom een poging gedaan iets inzichtelijker te maken hoe dat er in de praktijk ongeveer uitziet.
Wil je meer weten over authenticatiemethoden of gerelateerde onderwerpen? Neem dan contact op met Johannes van 't Hart.
Voetnoten
[1] Vergelijk dit met het proberen te raden van een viercijferige pincode door simpelweg alle mogelijke combinaties te proberen totdat er een juist is. Hoe meer combinaties mogelijk zijn (lengte, speciale tekens, etc.), hoe langer het op deze manier kost om binnen te komen. (Een variatie op) deze tabel zal sommige lezers misschien bekend voorkomen: https://www.statista.com/chart/26298/time-it-would-take-a-computer-to-crack-a-password/.
[2] Multifactorauthenticatie is een overkoepelende term, in de praktijk worden ook geregeld termen als ‘tweestapsverificatie’ of ‘tweefactorauthenticatie’ (2FA) gebruikt.
[3} De enige publiek beschikbare methode hiervoor is FIDO/Webauthn. CISA beveelt organisaties aan om hierop over te gaan, onder meer omdat het FIDO protocol een poging tot inloggen op een nepwebsite blokkeert.
[4] Zie bijvoorbeeld: S. Srinivas, ‘One step closer to a passwordless future’, Google Blog 5 mei 2022. << https://blog.google/technology/safety-security/one-step-closer-to-a-passwordless-future/>>, geraadpleegd op 15 augustus 2023.
[5] FIDO staat voor Fast Identity Online en is een (wachtwoordloze) authenticatiestandaard.
[6] T. Hofmans, ‘Techbedrijven gaan wachtwoordloze authenticatie via FIDO in software plaatsen’, Tweakers 5 mei 2022. << https://tweakers.net/nieuws/196392/techbedrijven-gaan-wachtwoordloze-authenticatie-via-fido-in-software-plaatsen.html>>, geraadpleegd op 15 augustus 2023.