Veiligheid in het kwadraat

.
Als gegevens succesvol gehackt worden, kan dit vervelende gevolgen hebben. Er zijn gevallen bekend van onbekende aanvallers die de accounts van slachtoffers hebben gebruikt om te trollen op social media in naam van de gebruiker, of om frauduleuze e-mails te sturen. Bij andere mensen is geld van hun online bankrekening verdwenen. Vaak merken mensen niet dat hun account gehackt is totdat het te laat is.

Een van de redenen dat gegevensdiefstal blijft plaatsvinden, is dat de meeste gebruikers te veel op hun wachtwoorden vertrouwen voor online bescherming. Mensen weten niet dat er online lijsten zijn met miljoenen combinaties van gebruikersnamen en wachtwoorden. Deze 'password dumps', zoals ze door experts worden genoemd, bestaan uit gegevens die zijn gestolen tijdens meerdere succesvolle gevallen van gegevensdiefstal. Omdat veel mensen hun wachtwoord voor meerdere accounts gebruiken, kunnen de inloggegevens voor hun Google-accounts hier ook gevonden worden, zelfs als hun accounts niet daadwerkelijk gehackt zijn. Een andere constante dreiging wordt gevormd door phishing. Dit zijn frauduleuze pogingen om wachtwoorden en andere informatie te verkrijgen via e-mails of websites die betrouwbaar lijken.

Daarom bevelen bedrijven als Google hun gebruikers aan hun online account te beveiligen met tweefactorauthenticatie. Dit betekent dat twee aparte factoren ingevoerd moeten worden om in te loggen, zoals een wachtwoord en een code die verstuurd wordt via sms. Deze verificatiemethode wordt vaak gebruikt, vooral door banken en creditcardbedrijven.

Beveiligingsexperts onderscheiden 3 basistypen beveiligingsfactoren. Het eerste type is een stukje informatie (iets dat je weet). Bijvoorbeeld: een gebruiker ontvangt een code via sms en voert deze in, of de gebruiker moet een beveiligingsvraag beantwoorden. Het tweede type is iets fysieks (iets dat je hebt) dat voor verificatie kan worden gebruikt, zoals een creditcard. Het derde type bestaat uit biometrische gegevens (iets dat je bent). Denk hierbij aan smartphone-gebruikers die hun scherm ontgrendelen met hun vingerafdruk. Alle strategieën voor tweefactorauthenticatie omvatten een combinatie van 2 van deze verschillende factoren.

Google biedt meerdere soorten tweefactorauthenticatie aan. Naast het traditionele wachtwoord kunnen gebruikers een eenmalige beveiligingscode invoeren. Deze code ontvangen ze via sms of spraakoproep, maar kan ook aangemaakt worden in de Google Authenticator-app. Deze app werkt op Android en IOS, het mobiele besturingssysteem van Apple. Gebruikers kunnen ook een lijst met veilige apparaten opgeven in hun Google-account. Als gebruikers proberen in te loggen vanaf een apparaat dat niet in de lijst staat, krijgen ze een beveiligingswaarschuwing van Google.

De afgelopen 3 jaar heeft Google gebruikers ook de optie geboden om een fysieke beveiligingstoken te gebruiken: een beveiligingssleutel. Dit is een USB-, NFC- of bluetooth-dongle die met het betreffende apparaat moet worden verbonden. Het proces is gebaseerd op een open verificatiestandaard, U2F (universele 2e factor), die door het FIDO-consortium is ontwikkeld. Google maakt deel uit van dat consortium, naast bedrijven als Microsoft, MasterCard en PayPal. Beveiligingstokens op basis van de U2F-standaard zijn voor een klein bedrag te krijgen bij verschillende fabrikanten. Deze zijn heel succesvol gebleken: sinds de introductie van beveiligingssleutels is het risico op gegevensdiefstal drastisch afgenomen. Hoewel een online account theoretisch gezien vanuit de hele wereld gehackt kan worden, moet een fysieke beveiligingstoken daadwerkelijk in handen zijn van de dieven (die daarnaast ook de inloggegevens van het slachtoffer nodig hebben voor toegang tot het account). Naast Google ondersteunen al meerdere bedrijven deze beveiligingstokens.

Natuurlijk heeft tweefactorauthenticatie ook nadelen. Gebruikers die sms-codes gebruiken, moeten hun mobiele telefoon bij de hand hebben als ze vanaf een nieuw apparaat inloggen. En USB- en bluetooth-dongles kunnen kwijtraken. Maar deze problemen zijn niet onoverkoombaar en zijn zeker het risico waard als je bedenkt hoeveel aanvullende beveiliging ze bieden. Bij verlies van de beveiligingssleutel kan de verloren token van het account makkelijk verwijderd worden en een nieuwe token worden toegevoegd. Een andere optie is om de tweede beveiligingssleutel meteen te registreren en op een veilige plaats te bewaren.

Ga voor meer informatie naar: g.co/2step

Illustratie: Birgit Henne