Twee-factor-authenticatie (2fa) en meer generieker meer-factoren-authenticatie, is een begrip dat niet meer weg te denken is in de huidige discussies omtrent informatiebeveiliging. Dit begrip heeft betrekking op het aantal factoren dat vereist is om toegang tot bepaalde informatie te krijgen. In het geval van twee-factor-authenticatie heeft men twee factoren nodig om te worden geauthenticeerd. Vaak zal dit iets zijn dat men weet (gebruikersnaam en wachtwoord) en iets dat men heeft (een token op een mobiel). Ook iets dat men is kan gebruikt worden als factor. Hieronder valt bijvoorbeeld een biometrisch kenmerk.
In sommige gevallen zal het gebruik van twee-factor-authenticatie zelfs verplicht zijn. Hierbij kan worden gedacht aan toegang tot bijvoorbeeld medische gegevens.1 Daarnaast wordt dit een meer en meer ingeburgerd begrip en ook toegepast op bijvoorbeeld algemene websites. Hoewel het eenvoudig lijkt te controleren of iets twee-factor-authenticatie is of niet, kan het toch enigszins complex zijn. Het heeft namelijk niet alleen betrekking op de feitelijke authenticatie van een gebruiker die toegang wil hebben tot bepaalde gegevens, maar ook op alle communciatiekanalen waar deze gegevens over worden verstuurd. Daarnaast moeten de factoren effectief zijn.
Communicatiekanalen
Een voorbeeld van deze complexiteit is de volgende casus. Een afzender wil een pdf met medische gegevens naar een ontvanger sturen. De afzender verstuurt een versleuteld pdf-bestand via een normale e-mail naar de ontvanger. Het bestand kan worden ontsleuteld met een sleutel die via een ander beveiligde weg wordt verstuurd. Toegang tot de inbox vindt plaats middels twee-factor-authenticatie.
Een snelle analyse zou tot de conclusie kunnen leiden dat toegang tot het versleutelde pdf-bestand voldoet aan meer-factor-authenticatie. Een derde kan alleen toegang krijgen tot het versleutelde bestand via de mailbox van de ontvanger en deze is beveiligd met twee-factor-authenticatie. Daarnaast wordt de sleutel van de pdf via een andere veilige weg aan de ontvanger overhandigd. Echter, toegang tot de medische gegevens is in dit voorbeeld slechts beveiligd met een enkele factor, namelijk de sleutel tot het pdf-bestand. Toegang tot de mailbox van de ontvanger is niet het grootste risico. Dit is namelijk het versturen van de e-mail zelf. Dit communicatiekanaal is zelf niet versleuteld en is dus af te luisteren. Een aanvaller kan hierdoor toegang krijgen tot het versleutelde bestand, zonder dat deze toegang nodig heeft tot de mailbox van de ontvanger.
De complexiteit ligt dan ook in het feit dat er een diversiteit aan mogelijkheden zijn om toegang te krijgen tot informatie en de zwakheden in de communicatiekanalen. In het bovenstaande voorbeeld ligt de zwakte in de onveiligheid van het communicatiekanaal e-mail. Indien de informatie via een veilig kanaal zou zijn verstuurd, dan zou er wel sprake zijn van twee-factor-authenticatie.
Een ander risico ligt in de onzekerheid omtrent toegang die derden hebben. Stel dat in het voorgaande voorbeeld het bestand niet direct zou zijn verstuurd, maar daarvoor in de plaats een geheime link die toegang verschaft tot de onversleutelde op een website. Het is voor afzender van het bericht onbekend of toegang tot de e-mailinbox via twee-factor-authenticatie verloopt, of slechts enkel middels een wachtwoord toegankelijk is. Om te voldoen aan twee-factor-authenticatie zal door deze onbekende omstandigheid een tweede factor moeten worden toegevoegd. Dit kan bijvoorbeeld door middel van een vooraf uitgewisselde QR-code voor de Google Authenticator voor het inloggen in de website waar de informatie op staat.2
Door deze tweede factor toe te voegen, dient het e-mailbericht slechts als notificatie dat er een bericht klaar staat. Ook het risico dat het versturen van het e-mailbericht wordt hiermee teniet gedaan.
Naast de gebruikelijke communicatiekanalen door de gebruiker zelf, zoals e-mail of sms, dienen ook de kanalen te worden onderzocht die niet door mensen worden gebruikt. Computersystemen communiceren onderling ook, zonder menselijke handelingen. Ook deze kanalen dienen te worden beveiligd met minimaal twee factoren. Indien gegevens opvraagbaar zijn bij een server via een versleutelde verbinding en een certificaat, betreft dit echter geen twee-factor-authenticatie. De versleuteling zelf zegt namelijks niets over de identiteit van degene die de informatie opvraagt, enkel het certificaat doet dit.
Ook het toevoegen van een wachtwoord is geen (nieuwe) tweede factor. Server-tot-server communicatie verloopt zonder menselijke tussenkoming en een wachtwoord zal vaak op de zelfde server staan als het wachtwoord. Dit zijn dus beide factoren die iemand (de server) heeft. Een factor die wel nieuw is betreft iets dat men (de server) is. Hierbij kan worden gedacht aan bijvoorbeeld een ip-whitelist. De ip-whitelist als tweede factor wordt hieronder besproken.
Effectiviteit
Een laatste punt van aandacht is de effectiviteit van de factoren. Indien het kennen van een wachtwoord een van de factoren betreft, moeten de eisen voor het wachtwoord namelijk wel effectief zijn. De eis dat een wachtwoord uit slechts twee karakters mag bestaan, is niet effectief te noemen. Dit is namelijk eenvoudig te kraken.
Indien vanuit een grote organisatie toegang moet worden verschaft tot informatie via het internet, kan een wachtwoord als eerste factor worden gehanteerd. Een ip-adres van de organisatie op de ip-whitelist van het systeem waarop de informatie te vinden is kan wellicht als tweede factor worden gebruikt. Door deze factor heeft men alleen toegang tot de informatie indien dit vanuit dat ip-adres wordt opgevraagd en diegene het wachtwoord weet.
Dit is echter niet effectief indien er een openbaar wifi-netwerk beschikbaar is in de organisatie beschikbaar, waarmee in het netwerk is te komen die op de ip-whitelist staat. Mocht er bijvoorbeeld een wachtwoord vereist zijn om toegang te krijgen tot het wifi-netwerk, dan kan dit echter niet als tweede factor dienen. Het hebben van een wachtwoord voor het wifi-netwerk en de eerste factor, ook een wachtwoord, zijn beide factoren die iemand weet.
Omtrent ip-whitelisting wordt nog wel eens gesuggereerd dat het niet effectief zou zijn, omdat ip-adressen zijn te vervalsen. Deze zijn inderdaad te vervalsen, maar dit is alleen nuttig voor het gebruik in een DDoS aanval. Hierbij verstuurt een aanvaller heel veel data naar een website in de hoop dat deze het verkeer niet aan kan. Door ip-adressen van deze data te vervalsen, zal de website contact proberen te zoeken met het vervalste ip-adres.
Met betrekking tot twee-factor-authenticatie is dit echter geen probleem. De aanvaller kan data versturen vanuit zijn computer naar de website, waarbij het lijkt alsof dit afkomstig is van een computer met het ip-adres in de whitelist, namelijk die van de organisatie. Het enige wat er dan gebeurt is dat de website informatie stuurt naar dit ip-adres en deze is niet van de aanvaller, maar van de organisatie. De aanvaller zal dus nimmer toegang krijgen tot de informatie als hij het ip-adres vervalst.
Conclusie
Het gebruik van twee-factor-authenticatie is altijd aan te raden, ook al betreft het geen gevoelige informatie zoals medische gegevens. Het juist inzetten van deze middelen vergt echter wel een nauwkeurig onderzoek omtrent de veiligheid van de communicatiekanalen en de effectiviteit van de factoren zelf.
Wilt u weten of uw gebruik van twee-factor-authenticatie veilig is? Neem dan vrijblijvend contact met ons op.
Voetnoten
- Control 9.4.1 NEN 7510.
- https://support.google.com/accounts/answer/1066447