De kracht van two factor authentication

14 november 2019

Een simpele beveiliging op basis van een wachtwoord voor uw software, e-mail of bestanden wordt vaak al onvoldoende gevonden. De maatschappij is in toenemende mate bewust van privacyrisico’s en het delen van persoonlijke gegevens gebeurt enkel aan partijen die aantoonbaar voldoen aan de regels rondom informatiebeveiliging. Two factor authentication, ofwel twee factor authenticatie (2FA), kan uw organisatie helpen bij de beveiliging van gegevens en software.

Natuurlijk is het toepassen van een twee factor authenticatie geen wondermiddel waardoor alle problemen direct de wereld uit worden geholpen. Toch geeft deze vorm van beveiliging een goede start om informatiebeveiliging op orde te hebben.

Maar wat is twee factor authenticatie eigenlijk? En hoe kan dit uw organisatie helpen als het gaat om informatiebeveiliging? In dit blogartikel staan wij stil bij de volgende onderwerpen:

Wilt u weten hoe het staat met de informatiebeveiliging binnen uw organisatie? Download gratis ‘De 7 basisprincipes van digitale hygiëne’ en controleer of uw organisatie de benodigde veiligheid waarborgt.

ONTDEK DE 7 PRINCIPES VAN PRIVACY BY DESIGN

 

Two factor authentication - Handen op laptop, op schoot

Zwakte van standaard authenticatie

Het geven van toegang binnen een applicatie of bepaalde software op basis van een gebruikersnaam en wachtwoord is redelijk standaard. Veel organisaties maken hier gebruik van. Toch brengt dit de nodige risico’s met zich mee. Een gebruikersnaam en wachtwoord worden niet snel veranderd. Werknemers behouden meestal hun gehele arbeidsperiode dezelfde gebruikersnaam. Het wachtwoord wordt in sommige gevallen pas na een lange periode aangepast, of zelfs helemaal niet.

Dat betekent dat een hacker lang de tijd heeft om het wachtwoord te kunnen achterhalen. Dit kan hij bijvoorbeeld doen met behulp van de volgende technieken:

  • Brute force: Hierbij gebruikt een hacker rekenkracht om wachtwoorden te ‘raden’. Bij brute force wordt er geen gebruik gemaakt van algoritmen of heuristieken om de berekening te versnellen. De methode bestaat uit het ‘domweg’ proberen van alle mogelijke opties, net zo lang tot er één gevonden is die overeenkomt met de gewenste invoer.
  • Phishing: De hacker maakt een nepwebsite waardoor het lijkt alsof hij een bepaalde applicatie of software is. In werkelijkheid is dit niet het geval en heeft de hacker de applicatie ‘nagemaakt’ om zo achter de gebruikersnaam en wachtwoord te komen van de gebruiker.
  • Social engineering: Bij deze techniek maakt de hacker gebruik van de mens zelf om het wachtwoord te achterhalen. Door middel van trucjes probeert de hacker achter het wachtwoord van de gebruiker te komen. Deze trucjes spelen in op de nieuwsgierigheid van de mens, het opwekken van medelijden of het bangmaken van de gebruiker.

Natuurlijk kan een organisatie zijn personeel vragen om hun wachtwoord regelmatig te vernieuwen of stimuleren om hele lange en moeilijke wachtwoorden te gebruiken. Uiteraard hebben beide ‘oplossingen’ zo hun nadelen...

Wat is two factor authentication?

Wanneer een organisatie een verbetering van de standaard authenticatie wilt, kiezen zij vaak voor twee factor authenticatie. Dit betekent dat er een extra factor wordt toegevoegd die persoons- tijds-, plaats- of device gebonden. Bij twee factor authenticatie kan de extra factor variërend zijn, wat de beveiliging flink sterker maakt. Daarnaast kunnen deze extra factoren ook nog eens gecombineerd worden. Dit noemt men dan multi-factor authenticatie (MFA).

Voorbeelden van twee factor authenticatie

  • Een 6-cijferige code die elke 30 seconden verandert en alleen voor de gebruiker zichtbaar is via een separaat device (token, smartphone, et cetera).
  • Een vereiste vingerafdruk.
  • Een code die via SMS wordt verstuurd en na de eerste inlog ingevoerd dient te worden.

Wat is de kracht?

De reden dat de beveiliging door het toepassen van een twee factor authentication sterk toeneemt, is omdat de hacker nu niet genoeg heeft aan alleen de gebruikersnaam en het wachtwoord. Daarnaast heeft een hacker beperkte tijd om die extra factor ‘te raden’, gezien deze continu veranderen of beperkt geldig zijn.

Dit geldt uiteraard niet wanneer een hacker toegang heeft tot deze extra ‘factor’. Dit kan bijvoorbeeld zijn wanneer de hacker een smartphone heeft ontvreemd. Desondanks zal de gebruiker het missen van zijn smartphone vrij vlot doorhebben, waar het hacken van de gebruikersnaam en/of wachtwoord ongemerkt plaats kan vinden. De impact van een inbreuk is dus beperkter.

Een ander voordeel is dat gebruikers hun wachtwoord minder vaak hoeven te vernieuwen en deze minder moeilijk hoeft te zijn - hoewel daar niet te gemakkelijk over gedacht moet worden.

Uw informatiebeveiliging op orde

Two factor authentication is een mooie oplossing om uw informatiebeveiliging te verbeteren. Toch is dit niet zaligmakend. Ook hierbij is de kans dat het misgaat altijd aanwezig. Gebruikers hebben een verantwoordelijkheid om het een en ander goed beschermd te houden.

Aan de hand van bovenstaande informatie is hopelijk duidelijk wat de kracht is van een twee factor authentication. Wilt u meer informatie of wilt u weten hoe u uw informatiebeveiliging aan kunt pakken of verbeteren? Wij helpen u graag. Neem vrijblijvend contact met ons op, wij staan graag voor u klaar.

Wilt u weten hoe het staat met de informatiebeveiliging binnen uw organisatie? Download gratis ‘De 7 basisprincipes van digitale hygiëne’ en controleer of uw organisatie de benodigde veiligheid waarborgt.

 

ONTDEK DE 7 PRINCIPES VAN PRIVACY BY DESIGN

Recente berichten

Ondersteunde normenkaders

  • ISO 27001 / ISO 27002 (2022!)
  • NEN 7510
  • ISO 27017/18
  • EU-AVG/GDPR
  • ISO 27701
  • BC 5701
  • ISO 22301
  • ISO 9001
  • ISO 14001
  • TISAX
  • PCI-DSS
  • BIO
  • DigiD
  • IBHO / SURFaudit
  • COBIT
  • NIST CSWP
  • ISAE 3000 / 3401
  • SOC 2
  • NIS 2
  • En meer...

Deze blogs vindt u wellicht ook interessant:

Stappenplan voor het in kaart brengen van bedrijfsprocessen en systemen

Als organisatie wil je voorkomen dat je bedrijf kwetsbaar is voor cybercriminaliteit. Het in kaart brengen van bedrijfsprocessen en informatiesystemen helpt zwakke punten te ontdekken en jouw organisatie tegen incidenten te beschermen.

27 juni 2023

Welk dreigingsmodel gebruikt wordt voor uw scope

Om ervoor te zorgen dat aan alle factoren wordt gedacht tijdens een risicoanalyse, zijn er dreigingsmodellen ontwikkeld. Denk bijvoorbeeld aan RAVIB, OWASP en MAPGOOD. Maar welk dreigingsmodel wordt gebruikt voor uw specifieke scope?

10 februari 2023

Interne audit van ISO normen

Een periodieke interne audit aan de hand van een ISO norm zoals bijvoorbeeld de ISO 9001 of ISO 27001, is noodzakelijk voor het voldoen aan deze normen en biedt het management inzicht in de effectiviteit en kwaliteit van lopende bedrijfsprocessen en...

16 december 2022