Dat inloggen met alleen een gebruikersnaam en wachtwoord niet veilig is, weten de meeste mensen inmiddels wel. Tweefactorauthenticatie (2FA) is al een hele verbetering. Maar volgens Koen Sandbrink van het NCSC wordt inloggen pas echt veilig bij gebruik van FIDO2.

Meervoudige authenticatie staat in de belangstelling. Want er klinken steeds meer geluiden dat authenticatie op basis van alleen een wachtwoord niet meer voldoende is en dat er een extra authenticatiestap aan toe moet worden gevoegd. Maar ook traditionele meervoudige authenticatie is nog niet het definitieve antwoord op cybercrime. FIDO2 is de standaard die meer toegepast zou moeten worden.

Het wachtwoord is de zwakste schakel
Heel veel digitale aanvallen richten zich op wachtwoorden. Voor een aanvaller is dat het makkelijkst. Een wachtwoord stelen is relatief eenvoudig. De crimineel stuurt een paar phishing-e-mails met een link naar een nagemaakte inlogpagina en als hij er genoeg verstuurt is er altijd wel iemand die hapt. Als eenmaal een wachtwoord bemachtigd is, kan de crimineel op een netwerk binnendringen en met de identiteit van de eigenaar van het wachtwoord narigheid aanrichten zonder dat het direct wordt opgemerkt. Ook de Autoriteit Persoonsgegevens ziet dat veel datalekken voorkomen hadden kunnen worden als een wachtwoord niet de enige beveiligingslaag was geweest.

Phising niet meer het probleem van banken alleen
Phishing was vroeger vooral een probleem voor banken. Vandaag de dag kan iedere organisatie ermee te maken krijgen. Dat komt omdat banken steeds beter beveiligd zijn en cybercriminelen andere verdienmodellen hebben gevonden. Op dit moment is ransomware in de mode. Hierbij gijzelen criminelen bestanden door ze te versleutelen en geven ze pas terug als er losgeld is betaald. Ook deze aanvallers weten vaak als eerste via een gestolen wachtwoord bij een organisatie binnen te komen. Zij treffen dan eerst maatregelen om te voorkomen dat de computersystemen met een back-up te herstellen zijn, nadat zij het netwerk ‘op slot’ hebben gezet.

Meervoudige authenticatie
Meervoudige authenticatie is beter bestand tegen phishing, maar niet immuun. Er zijn verschillende oplossingen voor meervoudige authenticatie. De meeste komen neer op een extra code die ingevuld moet worden en die voor een zeer beperkte tijd geldig is. Deze code komt uit een aparte app of wordt per sms verstuurd. Dit helpt voor een deel. Aanvallers kunnen namelijk nog wel een phishingwebsite maken, die op de achtergrond ook ‘live’ inlogt bij de echte dienst. Terwijl het slachtoffer de authenticatiecode invult op de nagemaakte inlogpagina, vullen de criminelen deze in op de echte pagina en zijn zij binnen. Vervolgens installeren zij vaak een achterdeurtje op het netwerk, zodat zij niet meer via de gestolen account hoeven in te loggen.

De oplossing: FIDO2
Bijna alle grote technologiebedrijven hebben de afgelopen jaren samengewerkt aan een nieuwe open standaard voor inloggen: FIDO2. Deze standaard werkt op basis van een cryptografisch token in plaats van een wachtwoord. Dit lost diverse problemen op. Phishing wordt veel ingewikkelder voor aanvallers, het stelen van authenticatiemiddelen is niet schaalbaar en kan niet op afstand, het is goedkoop om aan te bieden en voor gebruikers prettiger om mee te werken. Wie een webapplicatie heeft, kan gebruik maken van WebAuthn. Dat is de webversie van de FIDO2-standaard. Er is een demonstratiewebsite die toont hoe het werkt en hoe iemand het zelf kan toepassen. Andere softwareplatformen kunnen ook voor FIDO2 aangepast worden.