Ik vind informatiebeveiliging leuk. Waarschijnlijk behoor ik daarmee tot een minderheid. Democratisch gezien zal ik deze discussie dus verliezen tenzij ik jou ervan overtuig dat tweestapsverificatie echt helpt, ook als je niet schatbewaarder van De Nederlandsche Bank bent.
De laatste tijd is steeds vaker fraude in het nieuws via internetoplichting. Waar vroeger vooral de e-mail werd gebruikt, maken kwaadwillenden nu steeds meer gebruik van het vertrouwen dat social media wekken. Voorbeelden daarvan zijn Whatsapp fraude en hacks op social media accounts. Tegen iemand die zich voordoet als een ander (‘social engineering’, zoals met Whatsapp fraude) is niet zoveel technisch te doen, maar tegen hacks op social media is er een heel adequaat middel: tweestapsverificatie.
Waarom zou je dat doen?
Social media berichten worden net als e-mail heel makkelijk vertrouwd. Als je een Whatsapp krijgt van een vriend of een Linkedin message of Facebookbericht ben je geneigd je schild van wantrouwen snel te laten zakken. Als een hacker er in slaagt jouw account over te nemen, kan hij heel snel andere slachtoffers maken. Daarom gebruiken bedrijven en zakelijke clouddiensten zoals Exact Online en Nmbrs vaak een vorm van tweefactorauthenticatie. Als een wachtwoord wordt gekraakt of afgegeven, blijft de omgeving alsnog beschermd door de tweede laag, iets wat je bent of iets wat je hebt. NCSC adviseert waar mogelijk altijd tweefactorauthenticatie toe te passen.
Privé zou je dat ook moeten doen. Zeker wanneer zakelijk en privé een beetje door elkaar gaan lopen zoals bij Linkedin en soms ook Facebook. Een hacker is het waarschijnlijk niet te doen om jouw vakantiefoto’s of Linkedincontacten, maar door uit jouw naam een bericht te sturen met een malafide link, wekt die vertrouwen bij een ontvanger. Daarbij worden sommige diensten zoals Facebook of Google door veel mensen als identity provider (‘aanmelden met je Facebook account’) ingezet. Een hacker kan zelfs een account bij een webshop aanmaken onder jouw naam! Dan is een hack van Facebook ineens veel meer dan lastig. Behalve het risico op gegevensdiefstal of bankfraude, loop je ook het risico op identiteitsdiefstal of het in gevaar brengen van andere mensen in je sociale netwerk.
Is het moeilijk?
Nee, het is niet moeilijk. Google, Facebook, Linkedin, Twitter, Microsoft Live/Hotmail, Whatsapp, Apple (verplicht), ze bieden allemaal tweefactorauthenticatie. Zeker omdat deze accounts ook voor identity provider kunnen worden ingezet (je kunt ergens anders inloggen met je Facebook, Microsoft of Google account), moeten die aanmeldsystemen beschermd worden. Het instellen is in al deze platformen een standaard beveiligingsoptie onder je accountinstellingen.
Wat heb je ervoor nodig?
Je hebt een smart phone nodig met een Authenticator app. Als je een zakelijke Office account hebt, is de Microsoft authenticator een goede keuze omdat je dan ook de backupfunctie kunt gebruiken. Maar als je dit zakelijke en privé wilt scheiden, kun je ook Google Authenticator of Lastpass gebruiken. Lastpass biedt ook een wachtwoordkluis en backup van je verificatiesleutels. Het nadeel daarvan is wel dat Lastpass vervolgens eigenlijk beide autehnticatiefactoren beheert. Met de telefoon app scan je een QR code en geeft als respons de cijfercode die in je app verschijnt. Vanaf dat moment wordt er een continu wisselende code gegenereerd die je moet ingeven bij inloggen.
Is dat niet onhandig?
Ja het is erg onhandig om altijd te moeten aanmelden met twee codes. Daarom bieden de meeste platformen de mogelijkheid hun app op je telefoon of in de browser op een specifieke pc te vertrouwen. Dan hoef je niet je authenticator te gebruiken wanneer je via dat apparaat aanmeldt, maar wel als iemand (bijvoorbeeld een hacker) via een ander apparaat probeert aan te melden.
Op deze blog van Corinne Keijzer wordt het voor verschillende platformen met screenshots gedemonstreerd, bijvoorbeeld voor Linkedin. Zet deze beveiligingsoptie alsjeblieft aan, het kost je een paar minuten en kan jou en de mensen om wie je geeft heel veel ellende besparen!
Nog één tip: wanneer je van telefoon wisselt, worden de accounts in je authenticator app niet zomaar gebackupd en teruggezet op je nieuwe apparaat. Zet dus de backupfunctie in de Microsoft Authenticator app aan als je die gebruikt. Dat bespaart je een hoop tijd ten opzichte van alle authenticators opnieuw instellen. Lastpass slaat de sleutels sowieso op in de cloud maar Google authenticator is nog niet zo ver.