Two Factor, Or Not Two Factor, That Is The Question

Door Blokker_1999 op zondag 8 augustus 2021 19:46 - Reacties (4)
Categorie: /var, Views: 1.986

Vandaag kwam ik op het forum weer maar eens een schrijven tegen waarin iemand schreef dat er geen excuus is om geen MFA te gebruiken daar je de tokens en je wachtwoorden in dezelfde app kunt opslaan.

Maar waar je dan aan voorbijgaat is dat je nog altijd geen MFA hebt. De website mag dan wel denken dat je MFA gebruikt, je doet het nog altijd niet. Zelfs als je ervoor zou kiezen om op diezelfde computer een tweede wachtwoordmanager te installeren voor het afhandelen van je TOTP tokens is er nog altijd geen sprake van multi factor authenticatie. Een aanvaller die toegang heeft tot je computer kan perfect de master wachtwoorden van beide apps stelen.

Maar wat is multi factor authenticatie dan wel? Zoals de naam aangeeft moet er sprake zijn van meerdere factoren. 2x een wachtwoord als bescherming, zelfs al zijn het verschillende wachtwoorden, telt nog altijd maar als 1 enkele factor. We onderscheiden vandaag de dag 3 verschillende factoren:
- Iets dat je weet, bijvoorbeeld je wachtwoord
- Iets dat je hebt, dat kan je smartphone zijn maar evenzeer een fysiek token
- Iets dat je bent, biometrische data zoals een vingerafdruk of een gezichtsscan
Soms wordt ook nog een vierde factor geteld: waar je bent. Maar daar gaat niet iedereen mee akkoord omdat deze heel eenvoudig na te bootsen is.
Wil je gebruik maken van 2FA of MFA dan moet je dus voldoen aan minstens 2 van die factoren om in te loggen op een dienst. De eenvoudigste manier die we kennen om dat vandaag te bewerkstelligen is een combinatie van iets dat weet, namelijk een wachtwoord, zij het een wachtwoord voor de dienst waarop je probeert aan te melden dan wel voor je wachtwoordmanager, alsook iets dat je hebt en dat is dan vaak de authenticator app op je smartphone waarbij je bijkomend gebruik kunt maken van wie je bent door die app te ontgrendelen met biometrische data.

Door deze setup bekomen we dus in 1 keer dat we alle 3 de factoren gebruiken met een klein beetje ongemak, namelijk dat we altijd onze telefoon of een gelijkwaardig apparaat bij de hand moeten hebben.

Belangrijk voor een goede beveiliging evenwel is dat je nooit het wachtwoord voor de backup van je authenticator app opslaat in je wachtwoordmanager. Als je dat doet en iemand weet toegang te krijgen tot je wachtwoordmanager dan hebben ze ook toegang tot je authenticator app. Net zoals je authenticator app niet de enige bescherming mag zijn van je wachtwoordmanager, maar daar dus alsnog een sterk wachtwoord op moet staan ook.

Maar wachtm waarom bieden wachtwoordmanagers dan de mogelijkheid voor het opslaan van TOTP tokens als het niet veilig is?

Eenvoudig gezegd: omdat het wel veilig kan, maar je verliest gebruiksgemak. Vele mensen loggen bij het opstarten van hun PC in op hun wachtwoordmanager en laten deze ingelogd staan. Ofwel tot aan de herstart, ofwel met een automatische login, er van uitgaande dat niemand anders aan hun PC kan.

Als je dat niet doet, maar je wachtwoordmanager toestemming geeft om telkens slechts enkele minuten ontgrendeld te zijn waarna je opnieuw moet aanmelden op die wachtwoordmanager met multi factor authenticatie dan kan die manager wel degelijk dienstdoen als een kluis voor wachtwoorden en tokens. Maar dan sluit die kluis ook na elk gebruik. Het masterwachtwoord kan je dan combineren met iets wat je hebt, zoals een Yubi key zodat je nog altijd voldoet aan de 2FA vereiste voor een veilige werking.

MFA goed doen vereist een inspanning maar kan zeker de moeite lonen als je belangrijke accounts hebt te beschermen.