Tweefactor authenticatie

Het is jammer dat bij gesprekken over tweefactor authenticatie (2FA) vooral negatieve sentimenten (over een extra handeling) de boventoon voeren waardoor de substantiƫle(!) risicovermindering uit het oog wordt verloren. Omdat die extra handeling ook in het belang is van de eigenaar van de gebruikersnaam graag onderstaand tekst.

Wat is tweefactor authenticatie (2FA)
Als de toegang tot online gegevens is afgeschermd door een gebruikersnaam en wachtwoord, mis je zekerheid over de identiteit van degene die toegang tot die gegevens zoekt. Omdat je niet kunt zien wie de persoon is die van die combinatie gebruik maakt, bestaat de kans dat een ander gebruik (of misbruik) van de login gegevens maakt.

Soms gebeurt dat bewust: “gebruik mijn login gegevens maar even”. In dat geval geeft iemand zich dus voor een ander uit. In die situaties waarbij de eigenaar van de gebruikersnaam niet weet dat er van zijn of haar login gegevens gebruik wordt gemaakt, kan deze identiteitsfraude zeer vervelende gevolgen hebben voor de personen waarvan de gegevens worden verwerkt (betrokkenen)  

Omdat handelingen op een systeem worden geregistreerd (gelogd) loopt ook de eigenaar van de gebruikersnaam een risico. Namelijk om ten onrechte te worden aangesproken op handelingen, die hij of zij feitelijk niet heeft gepleegd. Als dat ongewenste of onrechtmatige handelingen zijn, is het voor de eigenaar van de gebruikersnaam lastig om te bewijzen dat een ander voor die handelingen verantwoordelijk is.

Het is dus ook voor de eigenaar (m/v) van een gebruikersnaam van belang om te voorkomen dat iemand anders onder zijn/haar naam toegang zoekt tot gegevens en gebruik kan maken van bevoegdheden die aan de eigenaar zijn toegekend. 2FA is daar voor bedoeld. Een extra slot op de deur en de eigenaar van de gebruikersnaam is de enige met de sleutel.

Het is mijn ervaring dat het draagvlak en de bereidheid om 2FA toe te passen toeneemt door ook de aspecten hierboven in rood te benoemen. Ook helpt een, door de toezichthouder opgelegde boete van 460.000 Euro, in dit geval opgelegd aan het Haga Ziekenhuis, waarbij het ontbreken van 2FA voor een belangrijk deel de oorzaak was. Zie het bericht op de site van de Autoriteit Persoonsgegevens.

Hoe gaat 2FA in zijn werk? Als extra controle wordt naast gebruikersnaam en wachtwoord (iets dat je weet) gebruik gemaakt van iets dat je hebt. Er zijn verschillende manieren om dat te doen en de ontwikkelingen op dat terrein gaan snel. Maar voor alle oplossingen geldt dat het eventuele nadeel van een extra handeling nooit opweegt tegen de afname van de risico’s. Microsoft heeft geconstateerd dat door het gebruik van een extra code de aanvallen op login accounts met 99,9% afneemt (zie bericht van Security.nl)  

Pinpas en pincode
Feitelijk vindt de genoemde extra controle ook toegepast bij een pinpas betaling. De combinatie van je pinpas (die je hebt) en je pincode (die je weet) geeft jou toegang tot je rekening en kun je gebruik maken van de aan jou toegekende bevoegdheid om een betaling te doen. 

Smartphone en code via sms
Naast een gebruikersnaam en wachtwoord (die je weet) kan gebruik worden gemaakt van een telefoonnummer (dat je hebt) en een smartphone waarnaar een code via SMS wordt gestuurd. 

Authenticator
Een andere oplossing is een app die je gebruikersnaam (die je weet) koppelt aan je telefoon (die je hebt). De app genereert op basis van die gekoppelde gegevens een code die na een aantal seconden weer wordt vernieuwd. Als de nieuwe code verschijnt, is de oude niet meer geldig. Na het installeren van de authenticator wordt na het invoeren van de gebruikersnaam en wachtwoord om een extra code gevraagd. Om toegang te krijgen gebruik je dan de code die op dat moment geldig is. Omdat de code deels is gebaseerd op iets wat je hebt, bestaat dus extra zekerheid over de identiteit van degene die toegang zoekt. Voorbeelden zijn de authenticator van Google, die van Microsoft en Authy. 

Dongle
Om die (extra) invoer te voorkomen zijn er ook dongles. Deze ondersteunen de gebruiker via USB, Bluetooth of NFC. Voorbeelden zijn Google Titan, Yubikey en Feitian.