Generic
Two-factor authenticatie als onmisbare sleutel in digitale beveiliging
03/09/2013 | Written by: Think Blog redactie (0cB)
Categorized: Generic
Share this post:
Blog door Peter Volckaert, IT Security Architect.
In juni werd Wired-journalist Matt Honan het slachtoffer van hackers. Zij wisten de controle over Honan’s Twitter-account te bemachtigen, door gaten in de beveiliging van Apple, Amazon en Google te benutten. Het uiteindelijke resultaat: ze sloten zijn Gmail-account, verwijderden zijn iCloud-data en maakten misbruik van zijn Twitter-account door racistische en homofobe boodschappen te verspreiden. Van het ene op het andere moment werd Honan’s digitale identiteit uitgewist.
De oorzaak van deze spraakmakende hack zat voornamelijk in het ontbreken van ‘two-factor’-authenticatie. Een goede authenticatie kan namelijk pas gegarandeerd worden als er ten minste twee factoren gebruikt worden, of dit nou een vingerafdruk, bankpas of wachtwoord is. Toegang tot systemen en applicaties krijg je dus via twee beveiligingsmechanismen: identificatie en authenticatie. Identificatie is hoe je voor de buitenwereld bekend staat, bijvoorbeeld een accountnaam, klantnummer of e-mailadres. Authenticatie is het verifiëren van je identiteit: iets wat je weet (wachtwoord), iets wat je bezit (een ticket voor een evenement) of iets wat je bent (vingerafdruk).
De ervaring leert immers dat wachtwoorden alleen niet genoeg zijn. Bij het internetbankieren kan een aanvullende code gevraagd worden om een transactie te verifiëren. En Facebook stelt persoonlijke vragen wanneer je vanaf een andere locatie inlogt dan normaal. Door het invullen van wachtwoorden in combinatie met factoren zoals een bankpas, paspoort of vingerafdruk, creëer je een sterke authenticatie. Het kan echter geen kwaad om na te gaan hoe kwetsbaar ze zijn.
Eindgebruiker: neem het heft in eigen hand
Als gebruiker heb je zelf in de hand welk wachtwoord je voor elke toepassing gebruikt. Daarom is het belangrijk om het risico op misbruik van je vertrouwelijke informatie te voorkomen.
- Kies voor elke toepassing een ander wachtwoord. Of doe dit in ieder geval bij de toepassingen die het belangrijkst voor je zijn. Dit vermindert het risico dat criminelen je gegevens voor meerdere toepassingen kunnen misbruiken.
- Verzin wachtwoorden met minimaal acht karakters en verwerk hier cijfers en symbolen in, ook al wordt er niet om gevraagd. Gebruik bij voorkeur wachtwoorden die op geen enkele wijze terug te koppelen zijn aan je persoonlijke informatie of aan de inhoud van een woordenboek.
- Als je aan de eerste twee regels wil voldoen, betekent dit dat je een reeks unieke wachtwoorden zal moeten onthouden. Er zijn een groot aantal gratis tools op het internet te vinden die dit automatisch en veilig voor je kunnen doen. Denk aan tools als KeePass, eWallet, LastPass en Password Safe.
Organisaties: laat veiligheid niet ten koste gaan van gebruiksgemak
Weinig gebruikers staan te trappelen om eindeloze wachtwoordcombinaties te moeten verzinnen die aan de strengste eisen voldoen. Toch dienen gebruikers tegen zichzelf in bescherming te worden genomen, aangezien organisaties vaak als hoofdschuldige worden aangewezen wanneer er sprake is van een wachtwoordkraak. Zelfs als het wachtwoord zich makkelijk liet raden.
- Laat gebruikers een sterk wachtwoord te verzinnen en wijk niet af van het bestaande securitybeleid dat een minimale beveiliging garandeert.
- Draag suggesties aan bij het verzinnen van een goed wachtwoord. Bedenk de juiste samenstelling en laat ze direct weten wanneer een wachtwoord niet voldoet aan de minimale eisen.
- Verplicht gebruikers na een bepaalde periode hun wachtwoord te veranderen. Dit voorkomt dat er misbruik gemaakt wordt van verouderde gegevens die in de verkeerde handen vallen.
Biometrie of wachtwoord?
De ontwikkeling van nieuwe technologieën als biometrische identificatie is de laatste tijd in een stroomversnelling geraakt. Steeds vaker klinkt de hooggespannen verwachting dat gezichts- en spraakherkenning op termijn wachtwoorden gaan vervangen. Dit is onjuist: wachtwoorden zullen nooit volledig uit het straatbeeld verdwijnen. Want niet iedereen staat te trappelen om zijn biometrische gegevens op te slaan in een database, stemgeluid kan veranderlijk zijn en ook lichamelijke kenmerken veranderen in de loop der jaren. Daarom delen organisaties en eindgebruikers de verantwoordelijkheid om het cybercriminelen zo moeilijk mogelijk te maken via het aloude, maar beproefde wachtwoord.
Is regulation enabling or hindering innovation in the financial services industry?
Anne Leslie, Cloud Risk & Controls Leader Europe, IBM Cloud for Financial Services Europe’s financial services sector is in the throes of wide scale digital transformation – a transition being accelerated by the growing adoption of digital solutions and services to help keep up with the demands of digitally savvy consumers. While there can be […]
The Digital Operational Resilience Act for Financial Services: Harmonised rules, broader scope of application
The Digital Operational Resilience Act – what and why As part of the European Commission’s Digital Finance Package, the new Digital Operational Resilience Act, or in short DORA, will come into force in the coming period. The aim of DORA is to establish uniform requirements across the EU that improve the cybersecurity and operational resilience […]
Banking on empathy
Suppose you’re owning a small boutique wine shop and have gone through two difficult years because of the Covid-19 pandemic. As the pandemic seems to be on its way back, it is time to revitalize the shop. And this causes direct a huge challenge: the wine stock needs to be replenished but you have used […]