Twee-factor-authenticatie (2FA) is de meest effectieve methode om ongeautoriseerde toegang tot een online account te voorkomen. Nog overtuiging nodig? Bekijk deze verbluffende cijfers van Microsoft eens.
De harde cijfers
In februari 2020 gaf Microsoft een presentatie op de RSA-conferentie met de titel “Breaking Password Dependencies: Challenges in the Final Mile bij Microsoft.” De hele presentatie was fascinerend als je geïnteresseerd bent in het beveiligen van gebruikersaccounts. Zelfs als die gedachte je geest verdooft, waren de gepresenteerde statistieken en cijfers verbluffend.
Microsoft volgt maandelijks meer dan 1 miljard actieve accounts, dat is bijna 1/8 van de wereldbevolking. Deze genereren meer dan 30 miljard maandelijkse inloggebeurtenissen. Elke aanmelding bij een zakelijk O365-account kan meerdere aanmeldingsgegevens genereren voor meerdere apps, evenals extra gebeurtenissen voor andere apps die O365 gebruiken voor eenmalige aanmelding.
Als dat aantal groot klinkt, houd er dan rekening mee dat Microsoft elke dag 300 miljoen frauduleuze inlogpogingen stopt. Nogmaals, dat is niet per jaar of per maand, maar 300 miljoen per dag.
In januari 2020 werden 480.000 Microsoft-accounts, 0,048 procent van alle Microsoft-accounts, gecompromitteerd door sprayaanvallen. Dit is wanneer een aanvaller een gemeenschappelijk wachtwoord gebruikt (zoals “Spring2020!”) tegen lijsten van duizenden accounts, in de hoop dat sommigen van hen dat gemeenschappelijke wachtwoord zullen hebben gebruikt.
Sprays zijn slechts één vorm van aanval; honderden en duizenden meer werden veroorzaakt door credential stuffing. Om deze te bestendigen, koopt de aanvaller gebruikersnamen en wachtwoorden op het dark web en probeert deze op andere systemen.
Dan is er phishing, waarbij een aanvaller u overtuigt om in te loggen op een nepwebsite om uw wachtwoord te krijgen. Deze methoden zijn hoe online accounts doorgaans worden ‘gehackt’, in het gewone spraakgebruik.
In totaal werden in januari meer dan 1 miljoen Microsoft-accounts gehackt. Dat zijn iets meer dan 32.000 gecompromitteerde accounts per dag, wat slecht klinkt totdat je je herinnert dat de 300 miljoen frauduleuze inlogpogingen per dag zijn gestopt.
Maar het belangrijkste van alles is dat 99,9 procent van alle inbreuken op Microsoft-accounts zou zijn gestopt als de accounts tweefactorauthenticatie hadden ingeschakeld.
Wat is tweestapsverificatie?
Ter herinnering: twee-factor-authenticatie (2FA) vereist een extra methode om uw account te verifiëren in plaats van alleen een gebruikersnaam en wachtwoord. Die extra methode is vaak een zescijferige code die per sms naar je telefoon wordt gestuurd of door een app wordt gegenereerd. Vervolgens typt u die zescijferige code in als onderdeel van de inlogprocedure voor uw account.
Tweefactorauthenticatie is een vorm van multifactorauthenticatie (MFA). Er zijn ook andere MFA-methoden, waaronder fysieke USB-tokens die u op uw apparaat aansluit, of biometrische scans van uw vingerafdruk of oog. Een code die naar uw telefoon wordt verzonden, is echter verreweg het meest gebruikelijk.
Multifactor-authenticatie is echter een brede term: een zeer veilig account kan bijvoorbeeld drie factoren vereisen in plaats van twee.
Zou 2FA de inbreuken hebben gestopt?
Bij spray-aanvallen en het vullen van referenties hebben de aanvallers al een wachtwoord – ze hoeven alleen maar accounts te vinden die het gebruiken. Bij phishing hebben de aanvallers zowel je wachtwoord als je accountnaam, wat nog erger is.
Als de Microsoft-accounts die in januari werden gehackt, multifactor-authenticatie hadden ingeschakeld, zou het hebben van een wachtwoord niet voldoende zijn geweest. De hacker zou ook toegang tot de telefoons van zijn slachtoffers nodig hebben gehad om de MFA-code te krijgen voordat hij op die accounts kon inloggen. Zonder de telefoon zou de aanvaller geen toegang hebben gehad tot die accounts en zouden ze niet zijn gehackt.
Als u denkt dat uw wachtwoord onmogelijk te raden is en u nooit voor een phishing-aanval zou vallen, duiken we in de feiten. Volgens Alex Weinart, hoofdarchitect bij Microsoft, maakt je wachtwoord eigenlijk niet zoveel uit als het gaat om het beveiligen van je account.
Dit geldt niet alleen voor Microsoft-accounts: elk online account is net zo kwetsbaar als het geen MFA gebruikt. Volgens Google heeft MFA 100 procent van de geautomatiseerde botaanvallen (spray-aanvallen, credential stuffing en vergelijkbare geautomatiseerde methoden) gestopt.
Als je linksonder in de onderzoeksgrafiek van Google kijkt, was de “Security Key”-methode 100 procent effectief in het stoppen van geautomatiseerde bot-, phishing- en gerichte aanvallen.
Dus, wat is de “Security Key” -methode? Het gebruikt een app op je telefoon om een ​​MFA-code te genereren.
Hoewel de ‘SMS-code’-methode ook erg effectief was – en het is absoluut beter dan helemaal geen MFA te hebben – is een app nog beter. We raden Authy aan, omdat het gratis, gebruiksvriendelijk en krachtig is.
Hoe u 2FA inschakelt voor al uw accounts
U kunt 2FA of een ander type MFA inschakelen voor de meeste online accounts. U vindt de instelling op verschillende locaties voor verschillende accounts. Over het algemeen bevindt het zich echter in het instellingenmenu van het account onder ‘Account’ of ‘Beveiliging’.
Gelukkig hebben we handleidingen voor het inschakelen van MFA voor enkele van de meest populaire websites en apps:
- Amazone
- Apple-ID
- Google/Gmail
- Microsoft
- Nest
- Nintendo
- Ring
- slappe
- Stoom
MFA is de meest effectieve manier om uw online accounts te beveiligen. Als je het nog niet hebt gedaan, neem dan de tijd om het zo snel mogelijk in te schakelen, vooral voor kritieke accounts, zoals e-mail en bankieren.