Veiligheid in het kwadraat

Verificatie in twee stappen helpt gebruikers om zich online beter te beschermen. Google-account biedt meerdere opties

Als gegevens succesvol gehackt worden, kan dit vervelende gevolgen hebben. Er zijn gevallen bekend van onbekende aanvallers die de accounts van slachtoffers hebben gebruikt om te trollen op social media in naam van de gebruiker, of om frauduleuze e-mails te sturen. Bij andere mensen is geld van hun online bankrekening verdwenen. Vaak merken mensen niet dat hun account gehackt is totdat het te laat is.

Een van de redenen dat gegevensdiefstal blijft plaatsvinden, is dat de meeste gebruikers te veel op hun wachtwoorden vertrouwen voor online bescherming. Mensen weten niet dat er online lijsten zijn met miljoenen combinaties van gebruikersnamen en wachtwoorden. Deze 'password dumps', zoals ze door experts worden genoemd, bestaan uit gegevens die zijn gestolen tijdens meerdere succesvolle gevallen van gegevensdiefstal. Omdat veel mensen hun wachtwoord voor meerdere accounts gebruiken, kunnen hun inloggegevens voor hun Google-accounts hier ook gevonden worden, zelfs als hun accounts niet daadwerkelijk gehackt zijn. Een andere constante dreiging wordt gevormd door phishing. Dit zijn frauduleuze pogingen om wachtwoorden en andere informatie te verkrijgen via e-mails of websites die betrouwbaar lijken.

Daarom bevelen bedrijven als Google hun gebruikers aan hun online account te beveiligen met verificatie in twee stappen. Dit betekent dat twee aparte factoren ingevoerd moeten worden om in te loggen, zoals een wachtwoord en een code die verstuurd wordt via sms. Deze verificatiemethode wordt vaak gebruikt, vooral door banken en creditcardbedrijven.

Beveiligingsexperts maken een verschil tussen drie basistypen van beveiligingsfactoren. Het eerste type is een stukje informatie (iets dat je weet). Bijvoorbeeld: een gebruiker ontvangt een code via sms en voert deze in, of de gebruiker moet een beveiligingsvraag beantwoorden. Het tweede type is iets fysieks (iets dat je hebt) dat voor verificatie kan worden gebruikt, zoals een creditcard. Het derde type bestaat uit biometrische gegevens (iets dat je bent). Denk hierbij aan smartphone-gebruikers die hun scherm ontgrendelen met hun vingerafdruk. Alle strategieën voor verificatie in twee stappen omvatten een combinatie van twee van deze verschillende factoren.

Google biedt meerdere soorten verificatie in twee stappen aan. Naast het traditionele wachtwoord kunnen gebruikers een eenmalige beveiligingscode invoeren. Deze code ontvangen ze via sms of spraakoproep, maar kan ook aangemaakt worden in de Google Authenticator-app. Deze app werkt op Android en in het mobiele besturingssysteem iOS van Apple. Gebruikers kunnen ook een lijst met veilige apparaten opgeven in hun Google-account. Als gebruikers proberen in te loggen vanaf een apparaat dat niet in de lijst staat, krijgen ze een beveiligingswaarschuwing van Google.

De afgelopen drie jaar heeft Google gebruikers ook de optie geboden om een fysiek beveiligingstoken te gebruiken: een beveiligingssleutel. Dit is een USB-, NFC- of bluetooth-dongle die met het betreffende apparaat moet worden verbonden. Het proces is gebaseerd op een open verificatiestandaard, Universal 2nd Factor (U2F), die door het FIDO-consortium is ontwikkeld. Google maakt deel uit van dat consortium, naast bedrijven als Microsoft, MasterCard en PayPal. Beveiligingstokens op basis van de U2F-standaard zijn voor een klein bedrag te krijgen bij verschillende fabrikanten. Deze zijn heel succesvol gebleken: sinds de introductie van beveiligingssleutels is het risico op gegevensdiefstal drastisch afgenomen. Hoewel een online account theoretisch gezien vanuit de hele wereld gehackt kan worden, moet een fysieke beveiligingstoken daadwerkelijk in handen zijn van de dieven (die daarnaast ook de inloggegevens van het slachtoffer nodig hebben voor toegang tot het account). Naast Google ondersteunen al meerdere bedrijven deze beveiligingstokens.

Natuurlijk heeft verificatie in twee stappen ook nadelen. Gebruikers die sms-codes gebruiken, moeten hun mobiele telefoon bij de hand hebben als ze vanaf een nieuw apparaat inloggen. En USB- en bluetooth-dongles kunnen kwijtraken. Maar deze problemen zijn niet onoverkoombaar en zijn zeker het risico waard als je bedenkt hoeveel aanvullende beveiliging ze bieden. Als iemand zijn of haar beveiligingssleutel verliest, kan het verloren token van het account makkelijk verwijderd worden en een nieuw token worden toegevoegd. Een andere optie is om de tweede beveiligingssleutel meteen te registreren en op een veilige plaats te bewaren.

Meer informatie vind je op:

g.co/2step

Illustratie: Birgit Henne