Wanneer gebruik wordt gemaakt van dubbele authenticatie zou de kans op misbruik van een account veel minder snel kunnen optreden. Maar hoe werkt dit en is dit echt wel zoveel veiliger?

Dubbele authenticatie (ook tweestaps-authenticatie of two-factor authentication genoemd) verkleint inderdaad de kans dat een account wordt gehackt. Het betekent immers dat de gebruiker tijdens het inloggen niet alleen zijn wachtwoord moet opgeven, maar ook nog op een andere manier, en meestal op een ander apparaat, moet aangeven dat hij wil inloggen. Dat kan bijvoorbeeld door een code opgestuurd te krijgen via SMS die opgegeven moet worden of omdat er een speciale app voor op de smartphone wordt geïnstalleerd.

Het is zeker niet nieuw

Nieuw kunnen we de dubbele authenticatie al lang niet meer noemen. Google, Microsoft Office 365, Twitter of de gratis Microsoft mail voorzieningen ondersteunen dit al een geruime tijd, net zoals dat sommige banken geen transacties uitvoeren wanneer niet via een dubbele authenticatie daar toestemming voor werd gegeven. Wat nieuw is, is dat steeds meer organisaties dit nu in toenemende mate gaan gebruiken om op het netwerk in te kunnen loggen of om een VPN verbinding op te kunnen zetten.

Daar waar de dubbele authenticatie eerder als “lastig” en “gebruikersonvriendelijk” werd beschouwd, is men die mening blijkbaar aan het bijstellen. Beveiliging en gebruikersgemak zitten elkaar nu eenmaal vaak in de weg, maar gezien de toenemende vraag naar een hogere veiligheid en de behoefte aan meer zekerheid, verschuiven deze twee steeds meer ten opzichte van elkaar. De intrede van de AVG (GPDR) speelt daar ongetwijfeld een belangrijke rol in.

Gebruikersgemak

Het gebruikersgemak van de dubbele authenticatie oplossingen is overigens wel aanzienlijk toegenomen. Medewerkers van Panthera maken zelf gebruik van de ESET dubbele authenticatie oplossing om op hun netwerk te kunnen komen. Deze oplossing biedt via een gratis te downloaden app, naast de mogelijkheid tot het werken met een pincode, tevens de mogelijkheid om slechts op een knop te drukken waarmee de toegang direct verkregen wordt. Natuurlijk moet de smartphone hiervoor wel op het internet kunnen komen.

Soms zie je dat diensten ten behoeve van het gebruikersgemak nog verder gaan en de gebruiker de optie bieden om de gebruikte PC of laptop te laten ‘vertrouwen’. Dit betekent dat deze machine, vaak op basis van een uniek adres van die machine, door de dienst wordt herkend en dat men dan geen dubbele authenticatie hoeft te gebruiken om daarmee in te kunnen loggen. We moeten ons echter goed realiseren dat het laten “vertrouwen van machines” in feite de dubbele authenticatie uitschakelt en dat iemand die op die bewuste PC of laptop werkt alleen een password nodig heeft om van dergelijke diensten gebruik te kunnen maken. Daarbij moet men zich er bewust van zijn dat passwords veel gemakkelijker te achterhalen of wijzigen zijn dan menigeen aanneemt.

Account onbruikbaar

Wanneer voor de dubbele authenticatie een smartphone wordt gebruikt, dan kan die smartphone natuurlijk kapot gaan of gestolen worden. Evenmin als men met dubbele authenticatie niets kan met alleen het password, kan men ook niets met alleen de smartphone. Maar lastig is het natuurlijk wel, de gebruiker kan dan zelf immers ook niets meer doen. Het is daarom belangrijk om zich vooraf te bedenken hoe een dergelijke situatie opgelost zou kunnen worden, mocht deze zich aandienen. Bij sommige banken moet je je hiervoor bijvoorbeeld melden aan de balie van een vestiging. Zij verifiëren dan de identiteit van de persoon in kwestie en dan kan de dubbele authenticatie op een andere telefoon worden ingeschakeld. Bij producten die op het eigen netwerk worden geïnstalleerd kan de systeembeheerder vaak zelf het mobiele nummer wijzigen.

Dubbele authenticatie heeft overigens nog een belangrijk voordeel. Stel een bedrijf heeft honderdtwintig medewerkers waarvan er zestig remote kunnen werken. Zij zetten een VPN verbinding op naar de zaak om bij bestanden te kunnen komen. Op een slechte dag moet besloten worden een remote medewerker op staande voet te ontslaan. Hij bevindt zich niet op kantoor. Zonder dubbele authenticatie zou men diens account kunnen blokkeren, maar de kans is reëel aanwezig dat deze persoon de inloggegevens van een collega tot zijn beschikking heeft. En welke accounts moet je dan allemaal beveiligen door daar het password snel van te laten wijzigen?

Door gebruik te maken van dubbele authenticatie hoeft alleen de dubbele authenticatie voor die persoon geblokkeerd te worden. Ongeacht of hij de inloggegevens van collega’s kent, is het daarmee onmogelijk voor hem geworden om nog in te kunnen loggen.

Geen haarlemmerolie

Dubbele authenticatie is geen haarlemmerolie. Wanneer dubbele authenticatie wordt gebruikt, is het voor kwaadwillenden wel veel moeilijker geworden om in te kunnen breken. Het is voor een hacker dan ook veel logischer gebruik te maken van een trojan of van phishing, dan om te proberen de dubbele authenticatie zelf te ‘breken’. Dubbele authenticatie zonder encryptie, zonder de beschikking te hebben over een goede firewall en zonder gebruik van goede en bijgewerkte anti-virus en anti-malware software, vormt dan ook zeker nog niet voldoende garantie voor een veilige werkomgeving.