Om accounts van gebruikers veiliger te maken, bieden veel websites en sociale media tweestapsverificatie aan. Zo’n extra beveiligingsmaatregel is hartstikke mooi, maar u moet als gebruiker niet denken dat u op deze manier volledig beschermd bent tegen hackers.
Tweestapsverificatie werkt heel eenvoudig: na het invullen van gebruikersnaam en wachtwoord op een site of in een app krijgt u doorgaans een bericht op uw telefoon met een beveiligingscode. Ook die code moet u invoeren, dan pas wordt u ingelogd.
Beveiligingsexperts raden al een paar jaar aan om tweestapsverificatie aan te zetten voor bijvoorbeeld LinkedIn, Twitter of Instagram. Ook is het verstandig om uw mailbox hiermee extra te beveiligen (zowel Microsoft als Google bieden dit aan voor respectievelijk Outlook en Gmail).
Toch is tweestapsverificatie niet zaligmakend. Kevin Mitnick, die ooit bij de FBI als meest gezochte hacker te boek stond en tegenwoordig onze chief hacking officer is, ontdekte dat de beveiligingsmethode kwetsbaar is. En niet zo’n beetje ook. Er zijn maar liefst twaalf manieren waarop cybercriminelen tweestapsverificatie kunnen omzeilen.
De voornaamste manier werkt als volgt: hackers sturen het beoogde slachtoffer een phishing e-mail. Als de ontvanger op de link in de e-mail klikt, komt hij op een echte website terecht – bijvoorbeeld die van LinkedIn – en kan hij inloggen zoals gewoonlijk, inclusief de beveiligingscode die hij op z’n telefoon ontvangt. Vanwege het aanklikken van de link verloopt het inloggen echter via de server van de hacker. De hacker kan zo de sessie cookie achterhalen. Door die cookie in zijn browser in te voeren en op enter te drukken is hij ingelogd op het account van het slachtoffer. In deze video laat Kevin Mitnick aan de Amerikaanse zender CNBC nog eens zien hoe het werkt.
Niet achteroverleunen
Betekent dit dat tweestapsverificatie nutteloos is? Zeker niet. Het werpt een extra barrière op voor cybercriminelen en alle andere personen die mogelijk toegang hebben tot uw accounts. Ook ik adviseer altijd om tweestapsverificatie aan te zetten, simpelweg omdat het u een minder makkelijke prooi maakt.
Maar: als u tweestapsverificatie hebt ingesteld op je accounts, kunt u dus niet achteroverleunen. Blijf waakzaam en controleer of u niet met phishing te maken hebt voordat u op een link in een e-mail klikt. Zo’n e-mail kan ook van een vertrouwde afzender komen. Als u ook maar een beetje twijfelt, neem dan contact op met die persoon of organisatie. Mocht u de mogelijkheid hebben om via uw werkgever een security awareness training te volgen, maak daar dan zeker gebruik van. Het kan een heleboel ellende voorkomen.
Geen enkele veiligheidsmaatregel is 100% zaligmakend. Om het dan een schijnveiligheid te noemen is dat een beetje clickbait. Mitnick laat in het voorbeeld (overigens al een jaar geleden) duidelijk zien dat je _niet_ op de werkelijke pagina terecht komt. Dat wil zeggen, ja de inhoud is wel die van de echte, maar de domeinnaam is dat niet. Je gaat naar http://www.llnked.com en daar lijkt het alsof je de echte pagina ziet. Dat is al jaren het probleem en inderdaad, daar beschermt 2fa je niet tegen. Het is dus altijd de bedoeling om goed naar de domeinnaam te kijken die je echt bezoekt. Met of zonder 2fa. Maar als je eenmaal echt op het juiste domein zit, dan kan de aanvaller er alleen nog tussen zitten met een man in the middle of attack of door die daadwerkelijke website besmet te hebben, waar je bij google/linkedin etc toch vanuit mag gaan dat dat niet gebeurt. De browser laat nooit het echte domein zien als je niet daadwerkelijk op die pagina bent (al is google daar nu – voor het eerst en dat is heel erg – vanaf gestapt: https://tweakers.net/nieuws/151726/google-begint-met-verbergen-urls-van-amp-paginas-in-chrome.html).
Zoals Jurriaan zegt. Aanvullend, klik niet op de links in een e-mail maar ga gewoon zelf naar de website. Mailtjes van mijn overheid bevatten ook geen links meer juist om die reden.
Door gebruik te maken van een off-line wachtwoordmanager zoals Keepass(XC) of 1Password wordt je URL beschermd tegen verkeerde links. Door tevens gebruik te maken van 2FA kun je de drempel nog iets verhogen.
2FA met behulp van een SMS code is minder veilig dan een TOTP (Time-based One-Time Password) omdat het SMS verkeer makkelijker kan worden afgeluisterd.