Twee-staps verificatie is niet genoeg: hoe aanvallers het omzeilen
Twee-staps verificatie is een van de beste dingen die u kunt doen voor uw beveiliging. Maar het is geen wondermiddel. Dit zijn de trucs die aanvallers gebruiken en wat u ertegen kunt doen.
Twee-staps verificatie (ook wel MFA genoemd) is een van de beste beveiligingsmaatregelen die u kunt nemen. Een account met twee-staps verificatie is veel moeilijker te hacken dan een account met enkel een wachtwoord.
Maar “veel moeilijker” is niet hetzelfde als “onmogelijk”. En aanvallers passen zich aan.
Truc 1: gewoon blijven vragen tot u op “ja” klikt
Als u een authenticatie-app gebruikt die pushmeldingen stuurt, krijgt u een melding zodra iemand uw wachtwoord invult. Normaal klikt u op “Goedkeuren” omdat u zelf aan het inloggen bent.
Aanvallers misbruiken dit door tientallen keer achter elkaar op “Inloggen” te klikken met uw gestolen wachtwoord. Ze sturen u melding na melding, midden in de nacht, tijdens een drukke vergadering, tot u per ongeluk op “Goedkeuren” tikt of het gewoon doet om van de meldingen af te zijn.
Dit klinkt simplistisch, maar het werkt. Grote organisaties zijn zo al gecompromitteerd geraakt.
Wat helpt: Gebruik een authenticatie-app waarbij u een code moet intypen in plaats van een knop te drukken. Of nog beter: een fysieke beveiligingssleutel.
Truc 2: een nepsite die alles doorstuurt
Klassieke phishing werkt niet meer op accounts met twee-staps verificatie. Zelfs als u uw wachtwoord ingeeft op een nepsite, heeft de aanvaller er niets aan zonder uw code.
Dus paste de techniek zich aan. Een slimmere nepsite doet meer dan uw wachtwoord onderscheppen: hij fungeert als tussenpersoon. U logt in op de nepsite, die stuurt uw gegevens in real-time door naar de echte site. De echte site vraagt om uw code, de nepsite toont u dat verzoek ook. U vult in, en de aanvaller heeft uw ingelogde sessie.
Als u op een nepsite inlogt die er perfect uitziet als het echte ding, bent u kwetsbaar, ook mét twee-staps verificatie.
Wat helpt: Een fysieke beveiligingssleutel (een klein USB-apparaatje) die gekoppeld is aan het echte domein. Die weigert automatisch te werken op een nepsite. En training die medewerkers leert de signalen te herkennen.
Truc 3: uw simkaart overnemen
Als u sms-codes gebruikt als tweede stap, is dat zwakker dan u denkt. Aanvallers kunnen telecomoperatoren overtuigen om uw telefoonnummer over te zetten naar een simkaart die zij bezitten. Daarna ontvangen zij uw sms’jes.
Het gebeurt minder vaak dan de andere technieken, maar het is reëel. En de gevolgen zijn groot.
Wat helpt: Gebruik nooit sms als tweede stap voor gevoelige systemen. Een authenticatie-app is al een stuk beter.
De rangschikking
Niet alle twee-staps verificatie is even sterk:
- Fysieke beveiligingssleutel: het sterkste, werkt niet op nepdomeinen
- Authenticatie-app met codes: sterk, beschermt tegen de meldingstruc
- Authenticatie-app met pushmeldingen: goed, maar kwetsbaar als mensen blind goedkeuren
- Sms-code: zwak, gebruik dit niet voor belangrijke systemen
Twee-staps verificatie aanzetten is nog steeds de juiste keuze
Een account zonder twee-staps verificatie is altijd kwetsbaarder dan een account mét. Het punt van dit artikel is niet dat het zinloos is. Integendeel. Het punt is dat de keuze van welk type u gebruikt een groot verschil maakt.
Bij een security test van Safebyte kijken we ook naar hoe uw accounts beveiligd zijn en of die beveiliging stand houdt onder druk. Praat met ons als u wilt weten hoe sterk u er echt voor staat.
Nieuwsbrief
Maandelijkse cybersecurity-update
Nieuwe dreigingen, praktische tips en Safebyte-inzichten. Één keer per maand.
Bedankt! We houden u op de hoogte.