Two-factor authenticatie (2FA)

Two-factor authenticatie, ook wel tweestapsverificatie of dual-factor authenticatie genoemd, is een beveiligingsproces waarbij de gebruiker twee verschillende authenticatiefactoren aanbiedt om zichzelf te authenticeren. Hiermee wordt de toegang tot zowel de legitimatiegegevens van de gebruiker als de bronnen van die gebruiker beter beschermd.
Two-factor authenticatie biedt een hogere mate van zekerheid dan single-factor authenticatie (SFA), waarbij de gebruiker slechts één factor aanbiedt, meestal een wachtwoord. Authenticatiemethoden met twee factoren zijn afhankelijk van een wachtwoord en een tweede factor, meestal een beveiligingstoken of een biometrische factor zoals een vingerafdruk of gezichtsscan.

Twee-factor authenticatie voegt een extra beveiligingslaag toe aan het authenticatieproces. Daardoor wordt het voor aanvallers moeilijker om toegang te krijgen tot accounts, omdat het alleen weten van het wachtwoord van het slachtoffer niet voldoende is. Two-factor authenticatie wordt al langer gebruikt om toegang tot gevoelige systemen en data te regelen. Online serviceproviders gebruiken het steeds vaker om de inloggegevens van hun gebruikers te beschermen tegen hackers. Die hebben soms een wachtwoorddatabase gestolen of phishing- campagnes hebben gebruikt om wachtwoorden te achterhalen.

Wat zijn authenticatiefactoren?

Er zijn verschillende manieren waarop iemand met meer dan één verificatiemethode kan worden geauthenticeerd. Momenteel vertrouwen de meeste authenticatiemethoden op knowledge factoren zoals een wachtwoord. Two-factor authenticatiemethoden voegen daar nog een possession factor of een inherence factor aan toe.

Authenticatiefactoren, op volgorde van acceptatie zijn:

1. De knowledge factor is iets dat de gebruiker kent, zoals een wachtwoord, een pincode of een ander soort gedeeld geheim.
2. De possession factor is iets dat de gebruiker heeft, zoals een ID-kaart, een security token, een smartphone of een ander mobiel apparaat.
3. De inherence factor, gewoonlijk een biometrische factor genoemd, is gebaseerd op een fysieke eigenschap van de gebruiker. Dit kunnen persoonlijke kenmerken zijn zoals vingerafdrukken die geverifieerd worden met een vingerafdruklezer. Andere vaak gebruikte inherence factoren zijn gezichts- en stemherkenning. Ook gedragsbiometrie, zoals toetsaanslagdynamiek en loop- of spraakpatronen vallen onder deze noemer.
4. De locatie factor, meestal aangegeven met de locatie van waaruit een authenticatiepoging wordt gedaan. Er kan worden afgedwongen dat verificatiepogingen zich beperken tot specifieke apparaten op een bepaalde locatie. Vaker nog door de geografische bron van een verificatiepoging te bepalen op basis van het IP adres of geolocatie-informatie afgeleid van de mobiele telefoon zoals de GPS-coördinaten.
5. De tijd factor beperkt de gebruikersauthenticatie tot een specifiek tijdvenster waarin inloggen is toegestaan.

De overgrote meerderheid van de twee-factor authenticatiemethoden zijn gebaseerd op de eerste drie authenticatiefactoren. Two-factor authenticatie is een vorm van multifactor-authenticatie. Systemen die een nog grotere veiligheid vereisen kunnen meerdere factoren tegelijkertijd gebruiken.

Wat is echte two-factor authenticatie?

Het gebruik van twee factoren uit dezelfde categorie vormt geen Two-factor authenticatie. Het eisen van een wachtwoord en een gedeeld geheim wordt beschouwd als een-factor authenticatie, omdat ze allebei tot dezelfde authenticatiefactor behoren – knowledge.

Twee-factor authenticatieproducten

Er zijn veel verschillende apparaten en services voor het implementeren van 2FA: van tokens, tot RFID- kaarten, tot smartphone-apps.

Twee-factor authenticatieproducten kunnen worden onderverdeeld in twee categorieën: tokens die gebruikers krijgen bij het inloggen en infrastructuur of software die toegang herkent en authenticeert voor gebruikers die hun tokens correct gebruiken.

Verificatietokens kunnen fysieke apparaten zijn, zoals sleutelhangers of smartcards. Maar het kan ook software in een mobiele of desktop-apps zijn die pincodes genereert. Deze authenticatiecodes worden meestal gegenereerd door een server en kunnen worden herkend door een authenticatie-apparaat of app. De authenticatiecode is gekoppeld aan een bepaald apparaat, een gebruiker of een account en kan eenmaal worden gebruikt.

Organisaties moeten een systeem implementeren voor het accepteren, of weigeren van gebruikers die hun tokens aanbieden. Dit kan worden geïmplementeerd in de vorm van serversoftware, een speciale hardwareserver of als SaaS oplossing in de cloud.

Two-factor authenticatie voor verificatie met Smartphones

Smartphones bieden een verscheidenheid aan mogelijkheden voor 2FA, waardoor bedrijven kunnen kiezen wat voor hen het beste is. Sommige apparaten kunnen vingerafdrukken herkennen; een ingebouwde camera kan worden gebruikt voor gezichtsherkenning of iris scannen en de microfoon kan worden gebruikt voor spraakherkenning. Met behulp van GPS kan de locatie als een bijkomende factor worden bepaald.

De telefoon zelf kan dienen als possession factor.

Is tweefactorauthenticatie veilig?

Een verificatie met twee factoren verbetert de beveiliging sterk. Het recht op toegang is namelijk niet langer uitsluitend afhankelijk is van de sterkte van een wachtwoord. De verificatie met twee factoren is echter zo veilig als het zwakste onderdeel. Hardware-tokens zijn bijvoorbeeld afhankelijk van de beveiliging van de uitgever of fabrikant.

Het accountherstelproces is een zwakke schakel omdat tijdens het annuleren van het authenticatie proces vaak het huidige wachtwoord gereset wordt.
Op SMS gebaseerde Two-factor authenticatie is niet duur, eenvoudig te implementeren en gebruiksvriendelijk. Het is echter kwetsbaar voor talloze aanvallen. Eenmalige wachtwoorden die via sms worden verzonden zijn kwetsbaar vanwege de portabiliteit van mobiele nummers.

De meeste cyberaanvallen verlopen via externe internetverbindingen. 2FA maakt deze aanvallen minder bedreigend. Het hacken van wachtwoorden is namelijk niet voldoende om toegang te krijgen. Het is onwaarschijnlijk dat een hacker ook in staat is om de tweede authenticatiefactor in handen te krijgen.

Discussieer mee op LinkedIn.