Datalekken worden gemeengoed in zowel kleine als grote technologiebedrijven. Het meest recente slachtoffer was het Australische telecommunicatiebedrijf Optus, wat resulteerde in ongeautoriseerde toegang tot de identiteitsgegevens van ongeveer 10 miljoen mensen.

Naast de ellende van de slachtoffers, ontketende deze cyberaanval nog een overvloed aan daaropvolgende phishing- en fraudepogingen met behulp van de gegevens die uit deze inbreuk werden verkregen.

Door strengere beveiligingsmaatregelen te nemen bij het inloggen, kunt u uw accounts beschermen en wordt de kans op veel geautomatiseerde cyberaanvallen aanzienlijk verkleind.

Multi-factor authenticatie (MFA) is een beveiligingsmaatregel waarbij de gebruiker twee . moet opgeven (ook wel tweestapsverificatie of tweestapsverificatie genoemd) of meer identiteitsbewijzen om toegang te krijgen tot digitale diensten. Dit vereist meestal een combinatie van iets dat de gebruiker weet (pin, geheime vraag), iets dat je hebt (kaart, token) of iets dat je bent (vingerafdruk of ander biometrisch).

Zo heeft de Australische belastingdienst onlangs enkele regels voor digitale dienstverleners aangescherpt over het verplichte gebruik van multi-factor authenticatie. Als u bepaalde diensten gebruikt, bent u al bekend met MFA.

Maar niet alle MFA-oplossingen zijn hetzelfde, met recente onderzoeken die eenvoudige manieren aantonen om meer gebruikelijke methoden die worden gebruikt om cyberaanvallen uit te voeren, te ondermijnen.

Bovendien geven mensen ook de voorkeur aan verschillende MFA-opties, afhankelijk van hun behoeften en niveau van technische kennis.

Dus wat zijn de momenteel beschikbare opties, hun voor- en nadelen, en voor wie zijn ze geschikt?

Er zijn vier hoofdmethoden voor multi-factor authenticatie

SMS :Momenteel de meest gebruikelijke optie waarbij een eenmalig wachtwoord (zoals een code) per sms wordt verzonden. Hoewel vrij populair en gemakkelijk te gebruiken, kan het wachtwoord of de code die naar u wordt gestuurd, vaak worden gehackt door kwaadwillende apps op de telefoon of door de sms om te leiden naar een andere telefoon. De methode mislukt ook als uw smartphone geen service heeft of is uitgeschakeld.

Gebaseerd op authenticatie :Een andere veelgebruikte methode, waarbij een applicatie die op uw smartphone is geïnstalleerd (zoals Google Authenticator) eenmalige wachtwoorden genereert die geldig zijn voor een zeer korte tijdspanne, zoals 30 seconden. Hoewel ze veiliger zijn dan sms-berichten, kunnen kwaadaardige apps deze eenmalige wachtwoorden nog steeds stelen. De methode mislukt ook als je smartphone leeg is.

Mobiele app :vergelijkbaar met authenticator-apps, maar een gebruiker krijgt een verificatieprompt in plaats van een eenmalig wachtwoord. Hiervoor moet uw smartphone een actieve internetverbinding hebben en ingeschakeld zijn.

Fysieke beveiligingssleutel :Het meest veilige mechanisme; het gebruikt een hardwarebeveiligingssleutel (zoals YubiKey, VeriMark of Feitian FIDO) die op het apparaat moet worden aangesloten om de identiteit te verifiëren - veel van deze lijken veel op USB-geheugensticks. Het is de huidige toonaangevende methode die wordt ondersteund door bedrijven als Google, Amazon en Microsoft, maar ook door overheidsinstanties over de hele wereld.

Elk van deze vier methoden varieert in bruikbaarheid en beveiliging. Ondanks dat fysieke beveiligingssleutels bijvoorbeeld het hoogste beveiligingsniveau bieden, is de acceptatiegraad het laagst, met cijfers die wijzen op een gebruik van slechts 10%.

Voorkeuren

Niet alleen verschillen de verschillende typen verificatie met meerdere factoren in beveiliging, ze hebben ook verschillende niveaus van populariteit. Dit resulteert in een discrepantie tussen de meest betrouwbare MFA-methode (de fysieke beveiligingssleutel) en wat is eigenlijk de meest veelgebruikte (SMS).

Ons team van het Center for Cyber ​​Security Research and Innovation van Deakin University heeft onlangs een onderzoek uitgevoerd naar de acceptatie van MFA-technologieën. We hebben meer dan 400 deelnemers ondervraagd die behoren tot verschillende leeftijdsgroepen, educatieve achtergronden en ervaring met MFA.

Resultaten van ons onderzoek geven aan dat de voorkeuren van mensen niet alleen worden beïnvloed door hun beveiligingsbehoeften, maar ook door bruikbaarheid. De meerderheid van de gebruikers gaf het meest om de eenvoud van de MFA-methode - dit verklaart duidelijk waarom op sms gebaseerde oplossingen nog steeds het landschap domineren, ook al zijn er veiligere alternatieven.

In ons vervolgonderzoek kregen gebruikers een maand lang de populairste fysieke beveiligingssleutels om zonder toezicht te testen. Voorlopige resultaten suggereren dat de meeste gebruikers de fysieke toetsen effectief en intuïtief in gebruik vonden.

Het gebrek aan platformondersteuning en installatie-instructies creëerde echter een perceptie dat deze sleutels moeilijk en complex waren om te installeren en te gebruiken, wat resulteerde in een gebrek aan bereidheid om ze te gebruiken.

Eén maat past niet allemaal

We zijn van mening dat er zorgvuldige afweging moet worden gemaakt voordat een overheidsinstantie of bedrijf MFA verplicht stelt, met een paar belangrijke stappen om te overwegen.

Verschillende mensen en organisaties hebben verschillende behoeften, dus in sommige gevallen kan een combinatie van methoden het beste werken. Een op SMS gebaseerde oplossing kan bijvoorbeeld worden gebruikt in combinatie met een fysieke beveiligingssleutel voor toegang tot kritieke infrastructuursystemen die een hoger beveiligingsniveau nodig hebben.

Daarnaast is educatie en bewustwording van gebruikers van vitaal belang. Veel mensen zijn zich niet bewust van het belang van MFA en weten niet welke methoden het veiligst zijn.

Door enige persoonlijke verantwoordelijkheid te nemen en zeer effectieve methoden te gebruiken, zoals fysieke beveiligingssleutels om onze meest kwetsbare accounts te beschermen, kunnen we allemaal ons steentje bijdragen om het internet veiliger te maken. + Verder verkennen

Google werkt zijn Titan Security Key-reeks bij met USB-A- en USB-C-versies

Dit artikel is opnieuw gepubliceerd vanuit The Conversation onder een Creative Commons-licentie. Lees het originele artikel.