AVG en 2FA
Ook de Autoriteit Persoonsgegevens is van mening dat 2FA een belangrijke bijdrage levert aan de beveiliging van persoonsgegevens. Volgens de AP had het gebruik van 2FA de impact van een datalek kunnen beperken of zelfs kunnen voorkomen. Naar schatting (Bron: AP-facts&figures) waren in 2020 minimaal 600.000 en maximaal 2.000.0000 personen (mogelijk) betrokken bij een (gemeld) datalek dat voorkomen had kunnen worden met de toepassing van 2FA.
De AVG-wetgeving schrijft in artikel 32 ‘beveiliging van de verwerking’ voor dat organisaties passende maatregelen moeten nemen om een op het risico afgestemd beveiligingsniveau te waarborgen. Hoe meer gevoelige gegevens je verwerkt des te groter de beveiligingsinspanningen moeten zijn. Daarnaast schrijft de AVG voor dat je rekening moet houden met de ‘stand der techniek’. De techniek van 2FA is tegenwoordig breed beschikbaar en steeds makkelijker bruikbaar. Hierdoor zal men deze toepassing vaker als een standaard beveiligingsmaatregel moeten zien.
Hoe werkt 2FA?
Met 2FA voeg je een extra laag beveiliging toe. Als je wachtwoord en gebruikersnaam in verkeerde handen valt, dan kunnen ongewenste indringers nog steeds niet inloggen. Je combineert bij 2FA twee verschillende middelen (factoren) om in te loggen. Iets wat je weet (je wachtwoord) en iets dat je bezit of iets dat je bent zoals:
- een app die een tijdgebonden code of bevestigingsknop toont, zoals Microsoft Authenticator of Authy Authenticator;
- een SMS-code via een ingesteld telefoonnummer;
- een apparaatje dat je identificeert via USB of draadloos (NFC), zoals de Yubico Yubikey;
- biometrische kenmerken zoals een vingerafdruk, gezichts- of irisherkenning.
De meest populaire manier om 2FA toe te voegen is de authenticator-app. Deze apps werken door de OR-code te scannen van de verschillende diensten waar je 2FA voor wilt instellen. Vervolgens genereert de app voor elke dienst iedere 30 seconden een nieuwe cijfercode. De minst veilige manier is het gebruik van een SMS-code. SMS kan namelijk onderschept worden door een derde partij d.m.v. Sim-swapping.
100% veilig met 2FA?
Je komt héél dicht in de buurt! Het kan je beschermen tegen veel verschillende online-bedreigingen zoals Phishing, social engineering en password brute-force attacks. Er zijn ondertussen meer dan genoeg voorbeelden bekend waarbij de inzet van 2FA een hoop ellende had kunnen voorkomen. Tweestapsverificatie is duidelijk een van de beste manieren om een account sterk te beveiligen tegen ongewenste indringers. Het is lastig zowel een wachtwoord als de 2FA-token te achterhalen. Niet onmogelijk, maar doorgaans te moeilijk voor een grootschalige aanval. Dat maakt tweestaps-verificatie (in combinatie met sterke wachtwoorden!) juist zo veilig.
Gebruiksgemak
Tweestapsverificatie is een gigantische vooruitgang in de veiligheid, maar toch blijft het gebruik nog erg achter. De gebruiksvriendelijkheid of onfeilbaarheid zijn vaak gehoorde argumenten om er niet aan te beginnen. En dan nog het probleem van wat te doen als je telefoon stuk gaat of gestolen wordt. Er zijn veel authenticator apps op de markt met een verschillend gebruiksgemak. De voor iedere account te gebruiken app Authy van twilio (Android/IOS) springt er in positieve zin uit. De mogelijkheid om naast je telefoon ook via een browser veilig aan je authenticatie-codes te komen is zeer praktisch en gebruiksvriendelijk. Zo heb je altijd een back-up als er iets misgaat. Grote organisaties met veel mobiele apparaten zoeken vaak een flexibele en makkelijk beheersbare oplossing om veilig toegang te verlenen tot applicaties of het bedrijfsnetwerk. Kijk dan bijvoorbeeld eens naar DUO (duo.com), Lastpass password and identity management (lastpass.com) of Citrix secure access (citrix.com).