Als het gaat om persoonlijke cyberbeveiliging, je zou kunnen denken dat het goed met je gaat. Misschien heb je multi-factor authenticatie ingesteld op je telefoon, zodat je een code moet invoeren die per sms naar je is verzonden voordat je vanaf een nieuw apparaat kunt inloggen op je e-mail of bankrekening.

Wat u zich misschien niet realiseert, is dat nieuwe oplichting authenticatie heeft gemaakt met behulp van een code die wordt verzonden via sms-berichten, e-mails of spraakoproepen minder veilig dan vroeger.

Multi-factor authenticatie wordt vermeld in het Essential Eight Maturity Model van het Australian Cyber ​​Security Centre als een aanbevolen beveiligingsmaatregel voor bedrijven om hun risico op cyberaanvallen te verminderen.

Vorige maand, in een bijgewerkte lijst, authenticatie via sms-berichten, e-mails of spraakoproepen is gedowngraded, wat aangeeft dat ze niet langer als optimaal worden beschouwd voor de beveiliging.

Dit is wat u in plaats daarvan zou moeten doen.

Wat is multi-factor authenticatie?

Telkens wanneer we inloggen op een app of apparaat, we worden meestal gevraagd om een ​​of andere vorm van identiteitscontrole. Dit is vaak iets dat we weten (zoals een wachtwoord), maar het kan ook iets zijn dat we hebben (zoals een beveiligingssleutel of een toegangskaart) of iets dat we zijn (zoals een vingerafdruk).

De laatste hiervan heeft vaak de voorkeur omdat, terwijl u een wachtwoord of een kaart kunt vergeten, uw biometrische handtekening is altijd bij u.

Multi-factor authenticatie is wanneer meer dan één identiteitscontrole via verschillende kanalen wordt uitgevoerd. Bijvoorbeeld, het is tegenwoordig gebruikelijk om uw wachtwoord in te voeren, en een extra authenticatiecode die u moet invoeren, wordt via sms naar uw telefoon verzonden, e-mail of voicemail.

Veel diensten, zoals banken, bieden deze functie al aan. U ontvangt een "eenmalige" code naar uw telefoon om de bevoegdheid te bevestigen om een ​​transactie uit te voeren.

Dit is goed omdat:

• het gebruikt twee aparte kanalen
• de code wordt willekeurig gegenereerd, dus het is niet te raden
• de code heeft een beperkte levensduur

Hoe kan dit fout gaan?

Stel dat een cybercrimineel uw telefoon heeft gestolen, maar je hebt het vergrendeld via een vingerafdruk. Als de crimineel uw bankrekening wil compromitteren en probeert in te loggen, uw bank stuurt een authenticatiecode naar uw telefoon.

Afhankelijk van hoe uw telefooninstellingen zijn geconfigureerd, de code kan op het scherm van je telefoon verschijnen, ook als hij nog op slot zit. De crimineel kan dan de code invoeren en toegang krijgen tot uw bankrekening. Houd er rekening mee dat de instellingen voor 'niet storen' op uw telefoon niet helpen, omdat het bericht nog steeds wordt weergegeven, zij het stil. Om dit probleem te voorkomen, u moet berichtvoorbeelden volledig uitschakelen in de instellingen van uw telefoon.

Een meer uitgebreide hack omvat "SIM-swapping". Als een crimineel enkele van uw identiteitsgegevens heeft, ze kunnen uw telefoonprovider misschien overtuigen dat u het bent en vragen om een ​​nieuwe simkaart die aan uw telefoonnummer is gekoppeld om naar hen te worden verzonden. Op die manier, elke keer dat een authenticatiecode wordt verzonden vanaf een van uw accounts, het gaat naar de hacker in plaats van naar jou.

Dit overkwam een ​​technologiejournalist in de VS een paar jaar geleden, die de ervaring beschreef:"Dinsdag om ongeveer 21.00 uur, 22 augustus ruilde een hacker zijn of haar eigen simkaart met de mijne, vermoedelijk door T-Mobile te bellen. Dit, beurtelings, netwerkdiensten naar mijn telefoon uitschakelen en, even later, stond de hacker toe de meeste van mijn Gmail-wachtwoorden te wijzigen, mijn Facebook-wachtwoord, en sms namens mij. Alle twee-factor-meldingen gingen, standaard, naar mijn telefoonnummer, dus ik ontving geen van hen en binnen ongeveer twee minuten werd ik buitengesloten van mijn digitale leven."

Dan is het de vraag of je je telefoonnummer wilt verstrekken aan de dienst die je gebruikt. Facebook is de afgelopen dagen onder vuur komen te liggen omdat het gebruikers verplichtte hun telefoonnummer op te geven om hun accounts te beveiligen, maar dan anderen toestaan ​​om via hun telefoonnummer naar hun profiel te zoeken. Ze hebben naar verluidt ook telefoonnummers gebruikt om gebruikers te targeten met advertenties.

Dit wil niet zeggen dat het splitsen van identiteitscontroles een slechte zaak is, het is alleen dat het verzenden van een deel van een identiteitscontrole via een minder veilig kanaal een vals gevoel van veiligheid bevordert dat erger kan zijn dan helemaal geen beveiliging gebruiken.

Multi-factor authenticatie is belangrijk – zolang je het maar via de juiste kanalen doet.

Welke authenticatiecombinaties zijn het beste?

Laten we eens kijken naar enkele combinaties van multi-factor authenticatie die een verschillende mate van gebruiksgemak en veiligheid hebben.

Een voor de hand liggende eerste keuze is iets wat je weet en iets wat je hebt, zeg een wachtwoord en een fysieke toegangskaart. Een cybercrimineel moet beide hebben om u te imiteren. Niet onmogelijk, maar moeilijk.

Een andere combinatie is een wachtwoord en een voiceprint. Een spraakherkenningssysteem registreert dat u een bepaalde wachtwoordzin uitspreekt en stemt vervolgens met uw stem wanneer u uw identiteit moet verifiëren. Dit is aantrekkelijk omdat u uw stem niet thuis of in de auto kunt laten.

Maar kan je stem vervalst zijn? Met behulp van digitale software, het is misschien mogelijk om een ​​bestaande opname van uw stem te maken, uitpakken en opnieuw rangschikken om de vereiste frase te produceren. Dit is enigszins uitdagend, maar niet onmogelijk.

Een derde combinatie is een kaart en een stemafdruk. Door deze keuze hoeft u geen wachtwoord meer te onthouden, die gestolen kunnen worden, en zolang u de fysieke token (de kaart of sleutel) veilig bewaart, het is erg moeilijk voor iemand anders om je voor te doen.

Er zijn nog geen perfecte oplossingen en het gebruik van de veiligste versie van authenticatie hangt af van de service die u gebruikt, zoals uw bank.

Cyberbeveiliging gaat over het beheersen van risico's, dus welke combinatie van multi-factor authenticatie bij uw behoeften past, hangt af van de balans die u accepteert tussen bruikbaarheid en veiligheid.

Dit artikel is opnieuw gepubliceerd vanuit The Conversation onder een Creative Commons-licentie. Lees het originele artikel.