Hoewel Dropbox het graag anders had gezien, gebruikt slechts 1 procent van de gebruikers de 2-stappenauthenticatie. Bij een 2-stappenauthenticatie moet er naast het wachtwoord nog een aanvullende code worden ingevuld voordat kan worden ingelogd.
‘Ik zou willen dat meer dan 1 procent van onze 2-stappenauthenticatie gebruikt maakt’, zei Trust and Security Manager EMEA Mark Crosbie van Dropbox voorafgaand aan zijn presentatie op de Infosecurity 2016. ‘Als ik één ding zou willen is dat iedereen erover schrijft, zodat gebruikers worden aangemoedigd om de dienst in te stellen. Het is zo’n goed idee, niet alleen voor Dropbox. Ook voor je Facebook-account, op je Google-account, overal.’
Dropbox heeft wereldwijd 200.000 zakelijke gebruikers, waarvan de helft Fortune100 bedrijven. Het aantal consumenten dat Dropbox gebruikt, is 500 miljoen. In Nederland gebruikt 1 op de 2 internetgebruikers de online dienst.
Crosbie vindt een 2-stappenauthenticatie een hele sterke manier van beveiliging als je wachtwoord ooit gestolen wordt. ‘Bij een 2-stappenauthenticatie ontvang je na het invullen van je wachtwoord een code op je telefoon. Dat is een heel gemakkelijke, en een heel effectieve manier, om je account te beveiligen.’
Dropbox
Dropbox heeft de uitdaging de functionaliteit door gebruikers in te laten stellen. Crosbie: ‘‘Het is als naar de tandarts gaan. We weten dat het moet, maar we wachten er altijd mee tot aan de laatste minuut. Dropbox probeert op allerlei manieren het belang onder de aandacht te brengen. En gebruikers zeggen wel dat ze het gaan doen, maar het komt op de langetermijn terecht. Ik denk dat de uitdaging is om mensen de functionaliteit meteen te laten instellen. Maar we bouwen onze beveiliging wel op zo’n manier dat – hoewel we onze gebruikers zeggen wat ze beter kunnen doen – we er vanuit gaan dat ze dat niet doen.’
Hacks
Online diensten, zoals Google of Dropbox, raden het gebruik van een 2-stappenauthenticatie aan. Mocht het wachtwoord van de gebruiker door kwaadwillenden worden achterhaald, kan er toch niet worden ingelogd. Hacks waar databases worden gekraakt, zoals van Yahoo onlangs, tonen het belang van de 2-stappenauthenticatie ook aan. Veel internetgebruikers gebruiken overal dezelfde inlognaam, vaak een emailadres, met hetzelfde wachtwoord. Zo gauw een kwaadwillende over deze gegevens beschikt kan hij gemakkelijk inloggen bij andere diensten die door dezelfde gebruikers worden gebruikt.
Ook bij Google blijft het gebruik van de 2-stappenauthenticatie achter. Uit een onderzoek in 2015 onder gebruikers van Google bleek voor 6,4% van de Google-accounts deze functionaliteit was ingeschakeld.
Je kan ook de bestanden encrypten en de sleutel op een andere veilige manier doorgeven.
Dan maakt het niet uit of het bestand lekt of door de NSA wordt opgeslurpt.
Het is zo jammer dat iedere aanbieder mij een eigen logincode wil laten onderhouden, die dan ook nog eens met 2FA beveiligd moet worden. Wat is er mis met het gebruik van de login faciliteiten van een grote partij als LinkedIn, Apple of Facebook. Door een dergelijk partij als login provider te gebruiken wordt het beheer van credentials een stukje makkelijker, want je moet er niet aan denken dat je je overal je telefoonnummer hebt achter gelaten voor 2FA en dan een ander nummer krijgt…