Faillissement
2014 was voor mij het jaar van het faillissement van username/password authenticatie. Zoals altijd lekten er honderduizenden wachtwoorden uit, maar ook testen met phishing toonden aan dat ongeveer een kwart van de mensen hier in trapt.
Aan de andere kant krijgen we steeds meer accounts op websites, steeds vaker gaan we bestellen bij webwinkels, je bestaat niet als je niet meedoet aan allerlei social media platformen, enzovoorts. Ik gebruik zelf LastPass (aanrader!) als hulpmiddel om al die wachtwoorden te managen en daar zitten nu al ruim 200 accounts in. Zonder zo’n password manager betekent dat dus dat je een paar wachtwoorden hebt die je op tientallen websites gebruikt. Maar als dat wachtwoord dan op straat komt te liggen, ligt ook de toegang tot al die websites in één keer open (niet goed!).
één of twee factoren?
De(?) oplossing voor veilig inloggen ligt in het gebruik van zogenaamde 2-factor authenticatie. Dat betekent over het algemeen dat je niet alleen inlogt met iets wat alleen jij weet (je wachtwoord), maar daarbij ook nog iets wat alleen jij hebt. Als dan je wachtwoord wordt gehackt kan daar nog steeds niet mee ingelogd worden omdat ze niet dat “ding” hebben wat ook nodig is om in te loggen. Omgekeerd geldt dat ook, mijn “ding” zit aan mijn sleutelbos. Als ik die verlies dan kunnen ze nog steeds niet als mij inloggen want ze weten mijn wachtwoord niet.
Die tweede factor kan ook biometrie zijn, dus een vingerafdruk zijn of een scan van je iris (die mooie kleuren in je oog), maar daar gaan we het nu niet over hebben.
Het Ding
Goed, we hebben iets nodig wat niemand anders heeft. Dat kan bijvoorbeeld een app op je smartphone zijn die iedere minuut een andere code maakt. De gratis app Google Authenticator is hier een voorbeeld van. Het maakt iedere minuut een andere code aan en die type je dan over als extra wachtwoord. Een andere optie met je smartphone is via SMS, je logt ergens in met username & password en krijgt dan via SMS de extra code die je nog moet ingeven om het inloggen te voltooien.
Dit zijn beide methodes die veiliger zijn dan alleen inloggen met je wachtwoord.
Een andere optie is met een “ding” of in vaktaal een “token”. Dit was tot voor kort kostbaar en niet gestandaardiseerd. Ieder bedrijf koos voor een ander token en je moest die dingen uitdelen en er ook voor zorgen dat ze weer terug kwamen, want ze waren veel geld waard. Sinds kort zijn een aantal grote Internet bedrijven bij elkaar gekomen om een universeel token te bedenken. Het idee is dat je als consument één keer zo’n token koopt of krijgt en daar vervolgens op veel sites gebruik van kan maken. Dat is de Fido Alliance. Het Fido token is een soort USB memory stick die je op de bekende manier in de computer schuift en die een voor jou unieke code aanmaakt. Voordeel is al dat je die code niet over hoeft te typen en alle computers hebben tegenwoordig wel USB. Er zijn er twee op de markt, eentje van Yubico en eentje van Plug-Up. Die van Yubico is wat duurder, maar wel steviger en er zit een soort tiptoets op. De security key van Plug-Up komt als creditcard binnen en daar moet je nog een flapje ombuigen om ‘m geschikt te maken voor gebruik in USB. De Plug-Up key is wel erg goedkoop, als je hem bij Amazon in Duitsland besteld ligt hij een tijdje later voor 8 euro in je bus. De Yubico key kost inclusief verzendkosten 20,50 euro bij Amazon.
Werking
Op dit moment werken deze twee keys alleen nog maar in Google Chrome en kan je ze gebruiken om bijvoorbeeld je Google mail account extra mee te beschermen. Dat is een goed idee, want behalve dat het je mail beschermt is dat email adres waarschijnlijk ook ingesteld bij andere accounts die je hebt om daar je wachtwoord te herstellen als je het vergeten bent.
Als je ingelogd bent in Google kan je onder je account instellingen 2-step authentication aanzetten. Op de Yubico pagina staat een filmpje dat je in anderhalve minuut laat zien hoe dat moet. Daarna krijg je bij het inloggen op google voortaan na het invoeren van username en wachtwoord een scherm dat vraag om de 2e stap met je secure key te voltooien.
Google twee stap authenticatie. Het werkt bijna hetzelfde voor beide keys, bij de Yubikey moet je de tiptoets nog aanraken, bij de Plug-up key is dit niet nodig.
Dus een investering van 8 euro en een paar minuten van je tijd en daarmee kan je een stuk veiliger het Internet op.
Stay Safe & have fun!