Wat is tweefactorauthenticatie en waarom wordt deze gebruikt?
tweefactorauthenticatie (2FA), ook wel tweefactorauthenticatie of dualfactorauthenticatie genoemd, is een beveiligingsproces waarbij gebruikers twee verschillende authenticatiefactoren leveren om zichzelf te verifiëren.
2FA is geà mplementeerd om zowel de referenties van een gebruiker als de bronnen waartoe de gebruiker toegang heeft beter te beschermen. Tweefactorverificatie biedt een hoger beveiligingsniveau dan verificatiemethoden die afhankelijk zijn van SFA (single-factor authentication), waarbij de gebruiker slechts één factor biedt-meestal een wachtwoord of toegangscode. Twee-factor authenticatie methoden vertrouwen op een gebruiker het verstrekken van een wachtwoord als de eerste factor en een tweede, andere factor-meestal ofwel een security token of een biometrische factor, zoals een vingerafdruk of gezichtsscan.
tweefactorauthenticatie voegt een extra beveiligingslaag toe aan het authenticatieproces door het moeilijker te maken voor aanvallers om toegang te krijgen tot apparaten of online accounts van een persoon, omdat, zelfs als het wachtwoord van het slachtoffer is gehackt, een wachtwoord alleen niet genoeg is om de authenticatiecontrole te doorstaan.
tweefactorauthenticatie wordt al lang gebruikt om de toegang tot gevoelige systemen en gegevens te controleren. Online serviceproviders gebruiken steeds vaker 2FA om de referenties van hun gebruikers te beschermen tegen gebruik door hackers die een wachtwoorddatabase hebben gestolen of phishingcampagnes hebben gebruikt om gebruikerswachtwoorden te verkrijgen.
dit artikel maakt deel uit van
Wat is identiteits-en toegangsbeheer? Gids Voor IAM
- die ook bevat:
- How to build an effective IAM architecture
- 4 essential identity and access management best practices
- 5 iam trends shaping the future of security
Wat zijn authenticatiefactoren?
er zijn verschillende manieren waarop iemand geauthenticeerd kan worden met behulp van meer dan één authenticatiemethode. Momenteel zijn de meeste verificatiemethoden afhankelijk van kennisfactoren, zoals een traditioneel wachtwoord, terwijl twee-factor verificatiemethoden een bezitsfactor of een inherentiefactor toevoegen.
Authenticatiefactoren, die bij benadering in volgorde van goedkeuring voor de computer worden vermeld, zijn onder meer de volgende::
- een kennisfactor is iets wat de gebruiker Weet, zoals een wachtwoord, een persoonlijk identificatienummer (PIN) of een ander type gedeeld geheim.
- een bezitsfactor is iets dat de gebruiker heeft, zoals een ID-kaart, een beveiligingstoken, een mobiele telefoon, een mobiel apparaat of een smartphone app, om verificatieverzoeken goed te keuren.
- een biometrische factor, ook wel een inherentiefactor genoemd, is iets dat inherent is aan het fysieke zelf van de gebruiker. Dit kunnen persoonlijke attributen zijn die zijn toegewezen aan fysieke kenmerken, zoals vingerafdrukken die zijn geverifieerd via een vingerafdruklezer. Andere veelgebruikte inherentiefactoren omvatten gezichts-en stemherkenning of gedragsbiometrie, zoals toetsaanslagdynamiek, gang of spraakpatronen.
- een locatiefactor wordt meestal aangeduid door de locatie van waaruit een authenticatie poging wordt gedaan. Dit kan worden afgedwongen door verificatiepogingen te beperken tot specifieke apparaten op een bepaalde locatie of door de geografische bron van een verificatiepoging te volgen op basis van het internetprotocol-adres van de bron of andere geolocatie-informatie, zoals GPS-gegevens (Global Positioning System), afgeleid van de mobiele telefoon of een ander apparaat van de gebruiker.
- een tijdfactor beperkt de authenticatie van de gebruiker tot een specifiek tijdvenster waarin inloggen is toegestaan en beperkt de toegang tot het systeem buiten dat venster.
de overgrote meerderheid van de tweefactorauthenticatie-methoden berust op de eerste drie authenticatiefactoren, hoewel systemen die meer beveiliging vereisen deze kunnen gebruiken om multifactorauthenticatie (MFA) te implementeren, die kan vertrouwen op twee of meer onafhankelijke referenties voor een veiligere authenticatie.
Hoe werkt tweefactorauthenticatie?
het inschakelen van tweefactorauthenticatie varieert afhankelijk van de specifieke toepassing of leverancier. Echter, twee-factor authenticatie processen omvatten hetzelfde algemene, multistap proces:
- de gebruiker wordt gevraagd in te loggen door de applicatie of de website.
- de gebruiker voert in wat ze weten — meestal, gebruikersnaam en wachtwoord. Vervolgens vindt de server van de site een match en herkent de gebruiker.
- voor processen waarvoor geen wachtwoorden nodig zijn, genereert de website een unieke beveiligingssleutel voor de gebruiker. De authenticatie tool verwerkt de sleutel en de server van de site valideert deze.
- de site vraagt de gebruiker vervolgens om de tweede aanmeldstap te starten. Hoewel deze stap een aantal vormen kan aannemen, moet de gebruiker bewijzen dat hij iets heeft wat alleen hij zou hebben, zoals biometrie, een beveiligingstoken, een ID-kaart, een smartphone of ander mobiel apparaat. Dit is de inherentie of bezetenheid factor.
- dan moet de gebruiker mogelijk een eenmalige code invoeren die is gegenereerd tijdens stap vier.
- na het verstrekken van beide factoren wordt de gebruiker geauthenticeerd en krijgt hij toegang tot de applicatie of website.
elementen van tweefactorauthenticatie
tweefactorauthenticatie is een vorm van MFA. Technisch gezien is het in gebruik wanneer twee authenticatiefactoren nodig zijn om toegang te krijgen tot een systeem of dienst. Het gebruik van twee factoren uit dezelfde categorie vormt echter geen 2FA. Bijvoorbeeld, het vereisen van een wachtwoord en een gedeeld geheim wordt nog steeds beschouwd als SFA omdat ze beide behoren tot de kennis authenticatie factor type.
wat SFA-diensten betreft, zijn gebruikersnamen en wachtwoorden niet de veiligste. Een probleem met wachtwoordgebaseerde authenticatie is dat het kennis en toewijding vereist om sterke wachtwoorden te maken en te onthouden. Wachtwoorden vereisen bescherming tegen veel insider bedreigingen, zoals achteloos opgeslagen sticky notes met inloggegevens, oude harde schijven en social engineering exploits. Wachtwoorden zijn ook ten prooi aan externe bedreigingen, zoals hackers met brute-force, woordenboek of rainbow table aanvallen.
gegeven genoeg tijd en middelen, kan een aanvaller gewoonlijk op Wachtwoorden gebaseerde beveiligingssystemen schenden en bedrijfsgegevens stelen. Wachtwoorden zijn de meest voorkomende vorm van SFA gebleven vanwege hun lage kosten, gemak van implementatie en vertrouwdheid.
meerdere challenge-response vragen kunnen meer veiligheid bieden, afhankelijk van hoe ze worden geïmplementeerd, en standalone biometrische verificatiemethoden kunnen ook een veiligere methode van SFA bieden.
Types of two-factor authentication products
er zijn veel verschillende apparaten en diensten voor het implementeren van 2FA — van tokens tot radio frequency identification (RFID) kaarten tot smartphone apps.
tweefactorauthenticatie-producten kunnen in twee categorieën worden onderverdeeld:
- tokens die aan gebruikers worden gegeven om te gebruiken bij het inloggen; en
- infrastructuur of software die toegang herkent en authenticeert voor gebruikers die hun tokens correct gebruiken.
authenticatietokens kunnen fysieke apparaten zijn, zoals sleutelhangers of smartcards, of ze kunnen bestaan in software als mobiele of desktop-apps die PIN-codes genereren voor authenticatie. Deze authenticatiecodes, ook bekend als eenmalige wachtwoorden (OTP ‘ s), worden meestal gegenereerd door een server en kunnen als authentiek worden herkend door een authenticatieapparaat of-app. De verificatiecode is een korte reeks gekoppeld aan een bepaald apparaat, gebruiker of account en kan slechts eenmaal worden gebruikt als onderdeel van een verificatieproces.
organisaties moeten een systeem implementeren voor het accepteren, verwerken en toestaan of weigeren van toegang aan gebruikers die authenticeren met hun tokens. Dit kan worden geà mplementeerd in de vorm van serversoftware of een dedicated hardwareserver, maar ook als service geleverd door een derde partij.
een belangrijk aspect van 2FA is ervoor te zorgen dat de geverifieerde gebruiker toegang krijgt tot alle bronnen waarvoor de gebruiker is goedgekeurd en alleen die bronnen. Als gevolg hiervan is een belangrijke functie van 2FA het koppelen van het authenticatiesysteem met de authenticatiegegevens van een organisatie. Microsoft biedt een deel van de infrastructuur die nodig is voor organisaties ter ondersteuning van 2FA in Windows 10 via Windows Hello, die kan werken met Microsoft-accounts, evenals authenticeren gebruikers via Microsoft Active Directory, Azure AD of Fast IDentity Online (FIDO).
hoe 2FA hardwaretokens werken
Hardwaretokens voor 2FA zijn beschikbaar die verschillende benaderingen van authenticatie ondersteunen. Een populaire hardware token is de YubiKey, een klein Universal Serial Bus (USB) apparaat dat OTPs ondersteunt, publieke sleutel encryptie en authenticatie, en het Universal 2nd Factor protocol ontwikkeld door de FIDO Alliance. YubiKey tokens worden verkocht door Yubico Inc., gevestigd in Palo Alto, Calif.
wanneer gebruikers met een YubiKey inloggen op een online service die OTP ‘ s ondersteunt — zoals Gmail, Github of WordPress — voegen ze hun YubiKey in de USB-poort van hun apparaat, voeren hun wachtwoord in, klikken in het YubiKey-veld en raken de YubiKey-knop aan. De YubiKey genereert een OTP en voert deze in het veld in.
de OTP is een wachtwoord voor eenmalig gebruik van 44 tekens; de eerste 12 tekens zijn een unieke ID die de beveiligingssleutel vertegenwoordigt die bij het account is geregistreerd. De overige 32 tekens bevatten informatie die versleuteld is met behulp van een sleutel die alleen bekend is bij het apparaat en de servers van Yubico, die is ingesteld tijdens de eerste Accountregistratie.
de OTP wordt verzonden van de online service naar Yubico voor authenticatie controle. Zodra de OTP is gevalideerd, stuurt de Yubico authenticatieserver een bericht terug waarin wordt bevestigd dat dit het juiste token is voor deze gebruiker. 2FA is compleet. De gebruiker heeft twee factoren van authenticatie verstrekt: het wachtwoord is de kennisfactor, en de YubiKey is de bezitsfactor.
tweefactorauthenticatie voor mobiele apparaten
Smartphones bieden een verscheidenheid aan 2FA-mogelijkheden, waardoor bedrijven kunnen gebruiken wat voor hen het beste werkt. Sommige apparaten kunnen vingerafdrukken herkennen, de ingebouwde camera gebruiken voor gezichtsherkenning of irisscanning en de microfoon gebruiken voor spraakherkenning. Smartphones uitgerust met GPS kunnen de locatie controleren als een extra factor. Voice Of Short Message Service (SMS) kan ook worden gebruikt als een kanaal voor out-of-band authenticatie.
een vertrouwd telefoonnummer kan worden gebruikt om verificatiecodes te ontvangen via SMS of automatisch telefoongesprek. Een gebruiker moet minstens één vertrouwd telefoonnummer verifiëren om zich in te schrijven voor mobile 2FA.
Apple iOS, Google Android en Windows 10 hebben allemaal apps die 2FA ondersteunen, waardoor de telefoon zelf kan dienen als fysiek apparaat om aan de bezitsfactor te voldoen. Duo beveiliging, gevestigd in Ann Arbor, Mich., en gekocht door Cisco in 2018 voor $ 2,35 miljard, heeft een platform dat klanten in staat stelt om hun vertrouwde apparaten te gebruiken voor 2FA. Duo ‘ s platform stelt eerst vast dat een gebruiker wordt vertrouwd voordat de verificatie van het mobiele apparaat kan ook worden vertrouwd als een authenticatie factor.
Authenticator-apps vervangen de noodzaak om een verificatiecode te verkrijgen via tekst, spraakoproep of e-mail. Om bijvoorbeeld toegang te krijgen tot een website of webgebaseerde service die Google Authenticator ondersteunt, typen gebruikers hun gebruikersnaam en wachtwoord-een kennisfactor. Gebruikers worden dan gevraagd om een zescijferig nummer in te voeren. In plaats van een paar seconden te wachten om een sms-bericht te ontvangen, een authenticator genereert het nummer voor hen. Deze nummers veranderen elke 30 seconden en zijn verschillend voor elke login. Door het juiste nummer in te voeren, voltooien gebruikers het verificatieproces en bewijzen het bezit van het juiste apparaat-een eigendomsfactor.
deze en andere 2FA-producten bieden informatie over de minimale systeemvereisten die nodig zijn om 2FA te implementeren.
pushmeldingen voor 2FA
een pushmeldingen is een wachtwoordloze verificatie die een gebruiker verifieert door een melding rechtstreeks naar een beveiligde app op het apparaat van de gebruiker te sturen, waarbij de gebruiker wordt gewaarschuwd dat er een verificatiepoging gaande is. De gebruiker kan details van de verificatiepoging bekijken en toegang goedkeuren of weigeren, meestal met één tik. Als de gebruiker de verificatieaanvraag goedkeurt, ontvangt de server die aanvraag en meldt hij zich aan bij de webapp.
pushmeldingen authenticeren de gebruiker door te bevestigen dat het apparaat dat is geregistreerd bij het authenticatiesysteem — meestal een mobiel apparaat — in het bezit is van de gebruiker. Als een aanvaller het apparaat compromitteert, worden de pushmeldingen ook gecompromitteerd. Pushmeldingen elimineren bedreigingen zoals man-in-the-middle aanvallen, ongeautoriseerde toegang en social engineering aanvallen.
hoewel pushmeldingen veiliger zijn dan andere vormen van authenticatie, zijn er nog steeds beveiligingsrisico ‘ s. Gebruikers kunnen bijvoorbeeld per ongeluk een frauduleus verificatieverzoek goedkeuren omdat ze worden gebruikt om op Goedkeuren te tikken wanneer ze pushmeldingen ontvangen.
is tweefactorauthenticatie veilig?
hoewel tweefactorauthenticatie de beveiliging verbetert, zijn 2FA-schema ‘ s slechts zo veilig als hun zwakste component. Hardwaretokens zijn bijvoorbeeld afhankelijk van de veiligheid van de uitgever of fabrikant. Een van de meest high-profile gevallen van een gecompromitteerde twee-factor systeem deed zich voor in 2011 toen beveiligingsbedrijf RSA Security meldde haar SecurID authenticatie tokens was gehackt.
het herstelproces van de account zelf kan ook worden ondermijnd wanneer het wordt gebruikt om twee-factor authenticatie te verslaan, omdat het vaak het huidige wachtwoord van een gebruiker reset en een tijdelijk wachtwoord e-mailt om de gebruiker in staat te stellen opnieuw in te loggen, waarbij het 2FA-proces wordt omzeild. De zakelijke Gmail-accounts van de chief executive van Cloudflare werden gehackt op deze manier.
hoewel het op SMS gebaseerde 2FA goedkoop, eenvoudig te implementeren en als gebruiksvriendelijk te beschouwen is, is het kwetsbaar voor talrijke aanvallen. Het National Institute of Standards and Technology (NIST) heeft het gebruik van SMS in 2FA-diensten ontmoedigd in zijn speciale publicatie 800-63-3: Digital Identity Guidelines. NIST concludeerde dat OTP ‘ s verzonden via SMS zijn te kwetsbaar als gevolg van mobiele nummer portability aanvallen, aanvallen op het mobiele telefoonnetwerk en malware die kan worden gebruikt voor het onderscheppen of omleiden van tekstberichten.
toekomst van authenticatie
omgevingen die een hogere beveiliging vereisen, kunnen geïnteresseerd zijn in driefactorauthenticatie, waarbij meestal een fysiek token en een wachtwoord worden gebruikt in combinatie met biometrische gegevens, zoals vingerafdrukscans of spraakafdrukken. Factoren zoals geolocatie, type apparaat en tijdstip van de dag worden ook gebruikt om te bepalen of een gebruiker moet worden geverifieerd of geblokkeerd. Daarnaast kunnen biometrische kenmerken, zoals de lengte van een toetsaanslag, de typsnelheid en muisbewegingen van een gebruiker, ook discreet in real time worden gecontroleerd om continue verificatie te bieden in plaats van een eenmalige verificatie tijdens het inloggen.
vertrouwen op wachtwoorden als de belangrijkste methode van authenticatie, hoewel gebruikelijk, biedt vaak niet langer de veiligheid of gebruikerservaring die bedrijven en hun gebruikers eisen. En hoewel verouderde beveiligingstools, zoals een password manager en MFA, proberen om te gaan met de problemen van gebruikersnamen en wachtwoorden, zijn ze afhankelijk van een in wezen verouderde architectuur: de wachtwoorddatabase.
bijgevolg wenden veel organisaties zich tot wachtwoordloze authenticatie. Met behulp van methoden zoals biometrie en veilige protocollen kunnen gebruikers zich veilig authenticeren in hun applicaties zonder wachtwoorden in te voeren. In het bedrijfsleven betekent dit dat werknemers toegang hebben tot hun werk zonder wachtwoorden in te voeren en het behoudt nog steeds de totale controle over elke login. Het gebruik van blockchain, bijvoorbeeld door middel van gedecentraliseerde identiteit of self-sovereign identity, krijgt ook aandacht als alternatief voor traditionele authenticatiemethoden.