Steeds meer organisaties passen multifactorauthenticatie toe om systemen en data te beveiligen. Dit biedt meer zekerheid over de identiteit van de gebruiker. Securityexperts vinden MFA cruciaal in de strijd tegen cyberaanvallen. Dat wil echter niet zeggen dat de oplossing waterdicht is, zegt Alexandre Cagnoni, Director of Authentication bij WatchGuard Technologies. “Sterker nog, sommige MFA-methoden zijn vrij eenvoudig te omzeilen.”
Sms-code via sim-swapping
Sms-codes zijn populair omdat iedereen zijn mobiele telefoon vrijwel altijd op zak heeft. Maar erg veilig is het niet. “Via social engineering, phishing en het hacken van endpoints is het mogelijk om sms’jes in handen te krijgen of te vervalsen via spoofing.” Denk aan simswapping. Hierbij doet een hacker zich voor als klant van een telecomprovider om het simkaartnummer over te zetten naar een nieuw apparaat. Vervolgens zijn alle sms-codes op dat apparaat te onderscheppen. Simswapping is te voorkomen door de authenticatie los te koppelen van het telefoonnummer.
MFA moet onderdeel zijn van een gelaagde security-strategie
Eenmalige wachtwoorden
Een andere methode is dat de gebruiker een eenmalig, tijdelijk wachtwoord – vaak een pincode – via het netwerk ontvangt. “Maar ook hierbij geldt: ze kunnen middels social engineering worden ontvreemd. “Een hacker kan zich voordoen als IT-collega en een medewerker telefonisch om de code vragen. Of hem naar een nepsite lokken waar hij het wachtwoord moet invullen.” Security-awareness bij medewerkers is een essentiële maatregel om dit te voorkomen. Aanvullend is een antiphishing-tool nodig.
Tokens
Usb-tokens – ‘dongles’ – zijn een waardevol alternatief voor wachtwoorden. Cagnoni: “Het is eenvoudig in gebruik en scoort goed op veiligheid. Maar een usb-token op zichzelf is toch onvoldoende. Iedereen die de token bemachtigt, kan toegang krijgen tot de beveiligde computer. Daarom is het belangrijk een token te combineren met minstens één ander identificatiemiddel, zoals een vingerafdruk.”
Mobiele notificaties
MFA via mobiele notificaties lijkt op sms-authenticatie. Alleen is hierbij geen mobiele dataverbinding nodig; een wifi-verbinding werkt ook. “Dit is mogelijk de veiligste methode in deze lijst, vanwege de directe koppeling tussen authenticatie en applicatie. Bij mobiele notificaties kan de gebruiker een inlogpoging eenvoudig goedkeuren of blokkeren.” Maar ook hier bestaat het risico op social engineering. Een hacker kan werknemers overtuigen om een malafide inlogpoging goed te keuren. “Stel daarom in dat de MFA-oplossing meer informatie toont. Dit helpt gebruikers bij het verifiëren van hun eigen inlogpogingen én het blokkeren van ongeoorloofde toegang.”
Belang van goede implementatie
Ongeacht de methode kunnen er zwakke plekken ontstaan door implementatie- of configuratiefouten. “Zoals bij een ‘pass-the-cookie’-aanval. Tijdens de gebruikersauthenticatie maakt diens browser een cookie aan, zodat hij niet steeds opnieuw hoeft te authentiseren. Bij een gebrekkige implementatie kan een aanvaller zo’n cookie stelen om toegang te krijgen zonder authenticatie.” Toch wegen de risico’s niet op tegen de voordelen, vindt Cagnoni. Uit een recent Gartner-rapport blijkt dat bedrijven die geen MFA inzetten vaker te maken krijgen met gekaapte accounts. “Elke organisatie doet er dus verstandig aan MFA te gebruiken, mits deze onderdeel is van een gelaagde securitystrategie waarin onder meer ook securityawareness en endpointbeveiliging zijn opgenomen.”
Tekst: Marcel Debets
[Dit artikel is eerder gepubliceerd in Security & Privacy Dossier 2021]