Al die moeite om je accounts en diensten te beveiligen met tweestapsverificatie en dan nóg is het niet goed. Het is soms om moedeloos van te worden. Heb je net iemand overtuigd om voor zijn of haar DigiD tweestapsverificatie met sms te gaan gebruiken, lees je weer dat het met een sms slechts ‘een beetje’ veiliger is dan alleen inlognaam en wachtwoord. Tweestapsverificatie met een U2F Key is veel veiliger…

Onderschepte sms’jes

Ik kreeg een mailtje van Dashlane mijn wachtwoordmanager. Als ik toevallig een account had bij Reddit, dan moest ik meteen mijn inloggegevens aanpassen want hackers hadden bij Reddit allerlei gegevens buitgemaakt. Nu heb ik daar geen account, maar dit soort dingen interesseert me, dus ik zocht verder. Hoe hadden ze bijvoorbeeld bij Reddit ingebroken? Op ArsTechnica las ik dat het via de accounts van personeel van Reddit was gegaan. Die accounts waren beschermd met tweestapsverificatie met als tweede stap een code die via sms binnenkwam, maar die sms’jes waren onderschept. Op die manier werd de beveiliging omzeild.

Wat te doen?

SMS’jes kunnen dus worden onderschept. Dat is de zwakke schakel van deze manier van tweestapsverificatie. Een hacker kan eventueel inbreken bij een telecomprovider en op die manier het sms-verkeer onderscheppen. Dus jij logt in bij je DigiD en die hacker ziet het sms’je als eerste voorbij komen. Misschien is er niet zoveel kans dat jij het slachtoffer bent, maar de kans bestaat. Alles valt te hacken, het een is wat moeilijker dan het ander. Dus wat nu te doen?

U2F Key

In plaats van dat de tweede stap een sms is, kun je de code laten genereren door een Authenticatie-app, zoals Authenticator van Google of Authy van Authy. Ook dit is geen garantie voor 100% veiligheid. Het enige dat echt veilig is is een U2F Key, bijvoorbeeld de YubiKey. Een U2F Key is een hardwaresleutel die jij alleen in je bezit hebt en die er voor zorgt dat jij ook degene bent die de tweede stap initieert.

Meer lezen over het werken met een U2F-key? Dat vind je HIER op dit blog.

Veilig online

Ronald Smit en ik schreven een praktisch boek over online-veiligheid, dat – je raadt het al – Veilig online heet. Daarin leggen we o.a. uitgebreid uit hoe je tweestapsverificatie kunt gaan gebruiken.  Er zijn allerlei verschillende manier van  tweestapsverificatie. Met sms’jes en tweestapsverificatie met een app. Je kunt ook gebruik maken van een hardware oplossing in de vorm van een usb-sleutel zoals hierboven beschreven. We leggen het je allemaal uit in dit praktische boek. Bestel het HIER bij de uitgever.

Hans Frederiks

Hans Frederiks is journalist en fotograaf en hoofdredacteur van blog.computercreatief.nl. Hij schrijft over ontwikkelingen op het gebied van computers, van vormgeving op het web en print, en fotografeert al zijn hele leven lang. Zijn specialisaties zijn panorama’s, landschappen en podiumfotografie. Zijn blog vind je HIER, zijn boeken vind je HIER.