Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Tweestapsverificatie biedt slechts schijnveiligheid

Dit artikel delen:

Computable Expert

mr. Jeffrey De Graaf
Managing Director Emea, KNOWBE4. Expert van Computable voor het topic Security.

Om accounts van gebruikers veiliger te maken, bieden veel websites en sociale media tweestapsverificatie aan. Zo’n extra beveiligingsmaatregel is hartstikke mooi, maar u moet als gebruiker niet denken dat u op deze manier volledig beschermd bent tegen hackers.

Tweestapsverificatie werkt heel eenvoudig: na het invullen van gebruikersnaam en wachtwoord op een site of in een app krijgt u doorgaans een bericht op uw telefoon met een beveiligingscode. Ook die code moet u invoeren, dan pas wordt u ingelogd.

Beveiligingsexperts raden al een paar jaar aan om tweestapsverificatie aan te zetten voor bijvoorbeeld LinkedIn, Twitter of Instagram. Ook is het verstandig om uw mailbox hiermee extra te beveiligen (zowel Microsoft als Google bieden dit aan voor respectievelijk Outlook en Gmail).

Toch is tweestapsverificatie niet zaligmakend. Kevin Mitnick, die ooit bij de FBI als meest gezochte hacker te boek stond en tegenwoordig onze chief hacking officer is, ontdekte dat de beveiligingsmethode kwetsbaar is. En niet zo’n beetje ook. Er zijn maar liefst twaalf manieren waarop cybercriminelen tweestapsverificatie kunnen omzeilen.

De voornaamste manier werkt als volgt: hackers sturen het beoogde slachtoffer een phishing e-mail. Als de ontvanger op de link in de e-mail klikt, komt hij op een echte website terecht - bijvoorbeeld die van LinkedIn - en kan hij inloggen zoals gewoonlijk, inclusief de beveiligingscode die hij op z’n telefoon ontvangt. Vanwege het aanklikken van de link verloopt het inloggen echter via de server van de hacker. De hacker kan zo de sessie cookie achterhalen. Door die cookie in zijn browser in te voeren en op enter te drukken is hij ingelogd op het account van het slachtoffer. In deze video laat Kevin Mitnick aan de Amerikaanse zender CNBC nog eens zien hoe het werkt.

Niet achteroverleunen

Betekent dit dat tweestapsverificatie nutteloos is? Zeker niet. Het werpt een extra barrière op voor cybercriminelen en alle andere personen die mogelijk toegang hebben tot uw accounts. Ook ik adviseer altijd om tweestapsverificatie aan te zetten, simpelweg omdat het u een minder makkelijke prooi maakt.

Maar: als u tweestapsverificatie hebt ingesteld op je accounts, kunt u dus niet achteroverleunen. Blijf waakzaam en controleer of u niet met phishing te maken hebt voordat u op een link in een e-mail klikt. Zo’n e-mail kan ook van een vertrouwde afzender komen. Als u ook maar een beetje twijfelt, neem dan contact op met die persoon of organisatie. Mocht u de mogelijkheid hebben om via uw werkgever een security awareness training te volgen, maak daar dan zeker gebruik van. Het kan een heleboel ellende voorkomen. 

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-04-17T14:12:00.000Z Jeffrey De Graaf
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.