Tweestapsverificatie met een U2F Key

Al die moeite om je accounts en diensten te beveiligen met tweestapsverificatie en dan nóg is het niet goed. Het is soms om moedeloos van te worden. Heb je net iemand overtuigd om voor zijn of haar DigiD tweestapsverificatie met sms te gaan gebruiken, lees je weer dat het met een sms slechts ‘een beetje’ veiliger is dan alleen inlognaam en wachtwoord.

Onderschepte sms’jes

Ik kreeg een mailtje van Dashlane mijn wachtwoordmanager. Als ik toevallig een account had bij Reddit, dan moest ik meteen mijn inloggegevens aanpassen want hackers hadden bij Reddit allerlei gegevens buitgemaakt. Nu heb ik daar geen account, maar dit soort dingen interesseert me, dus ik zocht verder. Hoe hadden ze bijvoorbeeld bij Reddit ingebroken? Op ArsTechnica las ik dat het via de accounts van personeel van Reddit was gegaan. Die accounts waren beschermd met tweestapsverificatie met als tweede stap een code die via sms binnenkwam, maar die sms’jes waren onderschept. Op die manier werd de beveiliging omzeild.

Wat te doen?

SMS’jes kunnen dus worden onderschept. Dat is de zwakke schakel van deze manier van tweestapsverificatie. Een hacker kan eventueel inbreken bij een telecomprovider en op die manier het sms-verkeer onderscheppen. Dus jij logt in bij je DigiD en die hacker ziet het sms’je als eerste voorbij komen. Misschien is er niet zoveel kans dat jij het slachtoffer bent, maar de kans bestaat. Alles valt te hacken, het een is wat moeilijker dan het ander. Dus wat nu te doen?

U2F Key

Een U2F-key.

In plaats van dat de tweede stap een sms is, kun je de code laten genereren door een Authenticatie-app, zoals Authenticator van Google of Authy van Authy. Ook dit is geen garantie voor 100% veiligheid. Het enige dat echt veilig is is een U2F Key, bijvoorbeeld de YubiKey. Een U2F Key is een hardwaresleutel die jij alleen in je bezit hebt en die er voor zorgt dat jij ook degene bent die de tweede stap initieert.

Veilig online

Zo zie je maar: heb je net een boek af over een Veilig Online-bestaan, zijn er weer ontwikkelingen die het soort veiligheden die in het boek beschreven worden onderuit halen. Nu moet je niet meteen denken: dan laat ik die tweestapsverificatie met sms ook maar zitten! Het is altijd nog een tweede stap en de kans dat hackers jouw sms’jes willen onderscheppen is ook weer niet zo groot. Die tweestapsverificatie blijft een extra laag, waardoor die hacker waarschijnlijk denkt: ik zoek wel verder naar iemand die dat niet aan heeft staan. Ik heb inmiddels zo’n U2F-key aangeschaft en ga er wat mee experimenteren. Nu nog veiliger! Binnenkort op dit blog.

2 gedachten over “Tweestapsverificatie met een U2F Key”

Geef een reactie

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.