Voorkom struisvogelpolitiek: beveilig je applicatie

Een Russische bende zou 1,2 miljard gebruikersnamen en wachtwoorden hebben buitgemaakt. Of het nu een marketingstunt is geweest of niet, het is de zoveelste wake-up call. Je kop in het zand steken en hopen dat je gespaard blijft, is geen optie meer na bekende hacks zoals Heartbleed, DigiNotar en het Sony Playstation Netwerk.

Voorkom misbruik

Wachtwoorden en gebruikersnamen kunnen op meerdere manieren gehacked worden. Bijvoorbeeld door de gegevens op een onveilige plek te bewaren, door inloggegevens te gebruiken die door computers makkelijk te raden zijn, door gebruik te maken van social media data, een keylogger of door screen scraping. Met een dubbele controle, oftewel two factor authentication (2FA), beperk je de kans dat er misbruik wordt gemaakt van de gehackte inloggegevens.

Two factor authentication

‘Two step verification’ of ‘two factor authentication’ betekent simpelweg dat er ingelogd wordt met iets dat je weet (wachtwoord) en iets dat je bezit (token). Bij het ontbreken van één van de twee factoren, kan er niet worden ingelogd. Het wachtwoord heeft geen verdere toelichting nodig. De token, iets dat je bezit, wordt onderverdeeld in twee typen; hard tokens en soft tokens.

Voorbeelden hard tokens:

• Hardware tokens (zoals RSA SecureID)
• Kaartlezers/random kaartlezers (zoals de Rabobank Random Reader)

Voorbeelden soft tokens:

• Sms-bericht (mobiele telefoon)
• IVR-bericht, telefonisch uitgesproken code (telefoon)
• Speciale Apps (mobiele telefoon, tablet)
• QR-code (mobiele telefoon, tablet)
• E-mail (mobiele telefoon, pc, tablet)

De soft tokens geven in de meeste gevallen een uniek wachtwoord, One Time Password (OTP). Dit wachtwoord wordt willekeurig gegenereerd en is normaal gesproken slechts eenmaal te gebruiken. Bovendien vervalt het wachtwoord vaak na een bepaalde tijdsperiode.

Multi authentication

Inmiddels zijn er ook multi authentication-oplossingen beschikbaar die gebruik maken van biometrie (vingerafdruk of irisscan). Deze oplossingen zijn een stuk minder toegankelijk en met name geschikt voor specifieke beveiligingsvraagstukken.

Voordeliger en eenvoudiger

Met de komst van de soft tokens is zowel de eenvoud van de implementatie als het gebruiksgemak enorm toegenomen. Doordat soft tokens worden getoond op bijvoorbeeld de mobiele telefoon die iedereen toch al bij zich heeft, hoeven er geen extra kaartlezers of hardware RSA-tokens binnen bereik gehouden te worden. Ook de kosten van aanschaf, implementatie en onderhoud van de tokens, zonder hardware, is nog slechts een fractie van die van de traditionele hard tokens.

One Time Password via SMS

De meest gangbare toepassing is op dit moment OTP via SMS. Gebruikers hebben immers geen app of toegang tot internet nodig. OTP via e-mail is een minder veilige oplossing aangezien wachtwoordherstel en het aanmaken van een account ook vaak via e-mail verlopen. Bovendien is OTP via sms sneller en betrouwbaarder.

Conclusie: kans of bedreiging?

Als het gaat om wachtwoorden en beveiliging, wordt al snel een defensieve houding aangenomen en gedacht in termen van bedreiging. Wellicht terecht, aangezien een lek grote gevolgen heeft voor het klantvertrouwen. Echter, de toegankelijkheid van tokenless 2FA biedt zowel kleine als grote organisaties een kans om zich te onderscheiden van de online struisvogels.