Wat is Two-Factor Authentication (2FA) en waarom heeft mijn project het nodig?

Developer Victor geeft je sleutelinformatie over de beveiliging van je website

Toegegeven, websitebeveiliging is niet het meest 'sexy' onderwerp. Aangezien de meest gekozen wachtwoorden nog steeds 'password' en '123456' zijn, is het wel iets waar we het over moeten hebben. In dit artikel leg ik uit waarom het een goed idee is om een extra stap toe te voegen aan het inlogproces.

Wat is Two-Factor Authentication?

Two-Factor Authentication, ook wel 2FA, is een methode waarbij authenticatie van een gebruiker via twee aparte kanalen verloopt, om de beveiliging zo te versterken. Er zijn nogal veel verschillende manieren om die verificatie uit te voeren, waar we het zo over zullen hebben. De methode is met name effectief om de risico's van het gebruik van 'zwakke' wachtwoorden (makkelijk te raden) af te dekken. Uit data van Google blijkt dat 53% van de gebruikers wachtwoorden hergebruikt en 13% van de gebruikers hetzelfde wachtwoord gebruikt voor al zijn accounts. Een geraden wachtwoord kan een potentiële hacker toegang geven tot meerdere accounts. Daarnaast geeft 3 op de 10 gebruikers aan dat hun wachtwoord wel eens ‘geraden’ is. Met Two-Factor Authentication stel je naast het wachtwoord nog een kanaal in waarmee ingelogd dient te worden.

Welke soorten Two-Factor Authentication zijn er?

Er vanuit gaande dat de eerste factor van verificatie een wachtwoord is, zijn er nogal wat opties voor de tweede factor. Hier een overzicht van de belangrijkste/meest gebruikte:

  • Authenticatie apps
    Ook hier zijn er tal van opties maar de meest bekende zijn Google en Microsoft authenticator. De apps geven de mogelijkheid om handmatig een login toe te voegen doormiddel van een sleutel of om een QR code te scannen waardoor de inlog automatisch wordt toegevoegd. De app geeft periodiek een cijfercode waarmee je de tweede stap van de verificatie kunt volbrengen.

  • Biometrisch; vingerprint, gezichtsherkenning of stemherkenning
    Dit zal het meest herkend worden van de manieren waarmee je de telefoon kunt beveiligen. Het is niet voor niks dat dit de bekendste plek is van biometrische authenticatie. Hoewel de manier van authenticatie zeer veilig is, gaat het wel om data die je liever niet aan derde partijen geeft, omdat het data is die direct aan jou als persoon is gelinkt. Op je mobiel wordt dat lokaal opgeslagen, maar als je deze manier van vergrendeling bijvoorbeeld voor het inloggen voor een website hanteert, dan zal er ergens het 'antwoord' van die verificatie opgeslagen zijn. Oftewel, een afbeelding van jou gezicht, een stukje van je stemgeluid of jouw vingerprint.

  • Eenmalige codes
    Het gaat hier om een unieke code die een korte tijd te gebruiken is en vaak verstuurd wordt, via sms/email of telefonisch. Meestal is er een keuze via welke manier je de code kunt ontvangen. De methode is veilig, maar mocht je voor de plek waar je wilt inloggen hetzelfde wachtwoord hanteren als voor je e-mail account en de code via e-mail ontvangen, dan is het niet de beste optie.

  • Locatie
    Ook de huidige locatie van de gebruiker kan gebruikt worden als verificatiestap. Dit kan zowel met de geologische locatie gedaan worden als met het apparaat weer op wordt geprobeerd om in te loggen. Als een apparaat of een bepaalde locatie een keer is geverifieerd, dan kan er de volgende keer zonder deze stap ingelogd worden op dezelfde locatie of op hetzelfde apparaat.

Waarom heb ik het nodig?

Dat hangt ervan af wie je bent; een gebruiker of een websitebeheerder. Ben je een gebruiker dan is het in je eigen belang om 2FA te gebruiken. Maak je er geen gebruik van en heb je een wachtwoord dat makkelijk (elektronisch) te raden is, dan breng je je eigen data in gevaar. Natuurlijk is sommige data gevoeliger dan andere, maar los van de gevoeligheid blijft het altijd belangrijk om je data goed of te schermen. Zoals eerder gezegd kan een gelekt wachtwoord potentieel toegang geven tot meerdere accounts.

Als websitebeheerder ligt je verantwoordelijkheid bij een hoop meer aspecten dan slechts je eigen data. De inlogomgeving kan allerlei gevoelige data bevatten van verschillende gebruikers. Daarnaast kunnen potentiële indringers aspecten van de website aanpassen of bijvoorbeeld malware plaatsen, als ze via het juiste account binnen kunnen komen. Het verplicht maken van Two-Factor Authentication is daarom een belangrijke stap in het beveiligen van jouw website.

Zijn er nog meer opties dan 2FA?

Er is ook de mogelijkheid om het inlogproces uit te breiden naar meer dan twee stappen, oftewel Multi-Factor Authentication. Dit maakt een beveiligde omgeving zeker veiliger, maar voor een relatief simpele website zal dit niet nodig zijn. Je moet hier vooral denken aan overheidsinstanties waar veel gevoelige data van gebruikers is opgeslagen.

Meer informatie over het beveiligen van je website of over 2FA specifiek?

We gaan met je in gesprek over wat jij nog meer kunt doen om je website te beveiligen. Neem vooral contact met ons op als je hier meer over wilt weten.