Two Factor, Or Not Two Factor, That Is The Question

Door Blokker_1999 op zondag 8 augustus 2021 19:46 - Reacties (4)
Categorie: /var, Views: 1.986

Vandaag kwam ik op het forum weer maar eens een schrijven tegen waarin iemand schreef dat er geen excuus is om geen MFA te gebruiken daar je de tokens en je wachtwoorden in dezelfde app kunt opslaan.

Maar waar je dan aan voorbijgaat is dat je nog altijd geen MFA hebt. De website mag dan wel denken dat je MFA gebruikt, je doet het nog altijd niet. Zelfs als je ervoor zou kiezen om op diezelfde computer een tweede wachtwoordmanager te installeren voor het afhandelen van je TOTP tokens is er nog altijd geen sprake van multi factor authenticatie. Een aanvaller die toegang heeft tot je computer kan perfect de master wachtwoorden van beide apps stelen.

Maar wat is multi factor authenticatie dan wel? Zoals de naam aangeeft moet er sprake zijn van meerdere factoren. 2x een wachtwoord als bescherming, zelfs al zijn het verschillende wachtwoorden, telt nog altijd maar als 1 enkele factor. We onderscheiden vandaag de dag 3 verschillende factoren:
- Iets dat je weet, bijvoorbeeld je wachtwoord
- Iets dat je hebt, dat kan je smartphone zijn maar evenzeer een fysiek token
- Iets dat je bent, biometrische data zoals een vingerafdruk of een gezichtsscan
Soms wordt ook nog een vierde factor geteld: waar je bent. Maar daar gaat niet iedereen mee akkoord omdat deze heel eenvoudig na te bootsen is.
Wil je gebruik maken van 2FA of MFA dan moet je dus voldoen aan minstens 2 van die factoren om in te loggen op een dienst. De eenvoudigste manier die we kennen om dat vandaag te bewerkstelligen is een combinatie van iets dat weet, namelijk een wachtwoord, zij het een wachtwoord voor de dienst waarop je probeert aan te melden dan wel voor je wachtwoordmanager, alsook iets dat je hebt en dat is dan vaak de authenticator app op je smartphone waarbij je bijkomend gebruik kunt maken van wie je bent door die app te ontgrendelen met biometrische data.

Door deze setup bekomen we dus in 1 keer dat we alle 3 de factoren gebruiken met een klein beetje ongemak, namelijk dat we altijd onze telefoon of een gelijkwaardig apparaat bij de hand moeten hebben.

Belangrijk voor een goede beveiliging evenwel is dat je nooit het wachtwoord voor de backup van je authenticator app opslaat in je wachtwoordmanager. Als je dat doet en iemand weet toegang te krijgen tot je wachtwoordmanager dan hebben ze ook toegang tot je authenticator app. Net zoals je authenticator app niet de enige bescherming mag zijn van je wachtwoordmanager, maar daar dus alsnog een sterk wachtwoord op moet staan ook.

Maar wachtm waarom bieden wachtwoordmanagers dan de mogelijkheid voor het opslaan van TOTP tokens als het niet veilig is?

Eenvoudig gezegd: omdat het wel veilig kan, maar je verliest gebruiksgemak. Vele mensen loggen bij het opstarten van hun PC in op hun wachtwoordmanager en laten deze ingelogd staan. Ofwel tot aan de herstart, ofwel met een automatische login, er van uitgaande dat niemand anders aan hun PC kan.

Als je dat niet doet, maar je wachtwoordmanager toestemming geeft om telkens slechts enkele minuten ontgrendeld te zijn waarna je opnieuw moet aanmelden op die wachtwoordmanager met multi factor authenticatie dan kan die manager wel degelijk dienstdoen als een kluis voor wachtwoorden en tokens. Maar dan sluit die kluis ook na elk gebruik. Het masterwachtwoord kan je dan combineren met iets wat je hebt, zoals een Yubi key zodat je nog altijd voldoet aan de 2FA vereiste voor een veilige werking.

MFA goed doen vereist een inspanning maar kan zeker de moeite lonen als je belangrijke accounts hebt te beschermen.

Volgende: Ransomware, Die Eerste Keer 24-05 Ransomware, Die Eerste Keer

Reacties


Door Tweakers user Mattie112, zondag 8 augustus 2021 22:42

Ja ik verbaasde me hier ook over idd. Super makkelijk natuurlijk maar het ontgaat wel een beetje het doel :) Zat er alleen aan te denken een 2e DB te maken met alle 2FA iets er in puur als backup voor het geval er iets met mn tel is.

O enne er zit een typo in :
Maar wachtm waarom bieden wachtwoordmanagers dan de mogelijkheid voor het opslaan van TOTP tokens als het niet veilig is?

Door Tweakers user Qwerty-273, maandag 9 augustus 2021 09:28

Soms wordt ook nog een vierde factor geteld: waar je bent. Maar daar gaat niet iedereen mee akkoord omdat deze heel eenvoudig na te bootsen is.
Deze wordt wel door veel cloud services gebruikt, maar dan eerder als extra waarschuwing dat je inlogt (of dat iemand anders probeert in te loggen - maar wel met de juiste ww + token combinatie) vanaf een locatie waar je niet eerder bent geweest. En dat is dan vaak niet op stad of regio niveau, maar wel al snel op land niveau.
Waarbij ook nog eens gekeken wordt naar de tijdsspanne waarin dat gebeurt. Log je in via Nederland en 30 minuten later via Spanje dan kan dat nog wel eens een extra waarschuwing of bevestiging stap opleveren.

Door Tweakers user Blokker_1999, dinsdag 10 augustus 2021 07:55

Qwerty-273 schreef op maandag 9 augustus 2021 @ 09:28:
[...]

Deze wordt wel door veel cloud services gebruikt, maar dan eerder als extra waarschuwing dat je inlogt (of dat iemand anders probeert in te loggen - maar wel met de juiste ww + token combinatie) vanaf een locatie waar je niet eerder bent geweest. En dat is dan vaak niet op stad of regio niveau, maar wel al snel op land niveau.
Waarbij ook nog eens gekeken wordt naar de tijdsspanne waarin dat gebeurt. Log je in via Nederland en 30 minuten later via Spanje dan kan dat nog wel eens een extra waarschuwing of bevestiging stap opleveren.
Maar met VPNs zo onbetrouwbaar als maar zijn kan. Stel ik zit voor mijn werkgever in het buitenland. Mijn laptop op de VPN gaat naar buiten via de verbinding van mijn werkgever terwijl mijn telefoon gebruik maakt van een wifi hotspot in het hotel aan de andere kant van de wereld. Alle twee loggen ze in op dezelfde dienst en ... je hebt een geografisch probleem.

Het kan reden zijn voor een extra waarschuwing, maar het mag niet snel een reden zijn om de toegang te weigeren. In dat geval valt het dus niet onder authenticatie maar wel onder auditing.
Mattie112 schreef op zondag 8 augustus 2021 @ 22:42:
Ja ik verbaasde me hier ook over idd. Super makkelijk natuurlijk maar het ontgaat wel een beetje het doel :) Zat er alleen aan te denken een 2e DB te maken met alle 2FA iets er in puur als backup voor het geval er iets met mn tel is.

O enne er zit een typo in :


[...]
Damn qwerty keyboards en hun misplaatste m key ...

Zelf gebruik ik de MS authenticator app voor mijn tokens die een backup doet naar onedrive. Belangrijk daar is uiteraard dat de credentials van je onedrive, en dus je MS account, niet zijn opgeslagen in je wachtwoorddatabase en dat je er ook MFA hebt op staan met meer dan alleen je authenticator app, maar ook bijv SMS verificatie.

Door Tweakers user Patriot, vrijdag 13 augustus 2021 00:20

Ik vind het wel wat ver gaan om te zeggen dat er geen sprake meer is van MFA als je je tokens laat generen door je wachtwoordmanager. Je creëert wel een single point of failure als je dit doet, en in die zin is het onveiliger, maar het is niet anders dan wanneer je bijvoorbeeld inlogt op je smartphone terwijl daar ook de authenticator app op draait die de tokens genereert om mee in te loggen.

Om te kunnen reageren moet je ingelogd zijn. Via deze link kun je inloggen als je al geregistreerd bent. Indien je nog geen account hebt kun je er hier één aanmaken.