Twee-staps-verificatie is een must

Het belang van een sterk wachtwoord is intussen algemeen bekend. Maar om voldoende beveiligd te zijn is vandaag meer nodig dan een veilig wachtwoord, nl. twee-staps-verificatie.

Wat is het?

Eigenlijk zijn er 3 manieren om uw identiteit aan te tonen en te verifiëren, nl. iets wat u weet (wachtwoord), iets wat u bezit (smartphone) en wie u bent (biometrische verificatie zoals vingerafdruk). We zijn er zeker van dat in de toekomst deze 3 verificatiemethodes gebruikt zullen worden om je te kunnen authentiseren maar, vandaag de dag zijn niet alle toestellen ervoor uitgerust. Daarom spreekt men op dit moment nog vaak over twee-staps-verificatie, waarbij 2 van bovenstaande methodes nodig zijn om jezelf te authentiseren. In mobiele applicatie's zien we vaak het gebruik van een wachtwoord en een vingerafdruk- of iris-scanner om jezelf kenbaar te maken. Computers zijn vaak niet uitgerust met de nodige biometrische hardware en hier wordt dus meestal in eerste instantie naar een wachtwoord gevraagd en in de tweede stap naar een code die gegenereerd wordt op iets wat je bezit, meestal je smartphone.

Biometrische verificatie als extra laag, niet als enige

In een eerder artikel hebben we al uitgebreid gesproken over de voor- en nadelen van biometrische verificatie. Het lijkt ons toch niet onbelangrijk nog even aan te stippen dat biometrische verificatie kan dienen als extra laag, maar nooit als enige.

Waarom beter niet via SMS

Veel diensten bieden twee-staps-verificatie ook zo aan dat je verificatiecodes kan ontvangen via SMS. Echter lijkt ons dit niet de meest veilige methode aangezien SMS standaard niet versleuteld is en de kans groot is dat er op dit moment al verscheidene apps op je smartphone staan die toegang hebben tot je SMS-berichten. Verder betekent het ook dat je steeds mobiel netwerk dient te hebben om te kunnen inloggen, iets wat niet altijd het geval is in bijvoorbeeld bedrijfshallen.

Hoe twee-staps-verificatie toch makkelijk kan

Verscheidene grote internetspelers zoals Google en Facebook tonen dat deze extra beveiligingslaag niet perse ten koste van de gebruikerservaring moet gaan. Wanneer je een Android smartphone hebt en je bijvoorbeeld op je pc inlogt in je Google-account, dan hoef je geen code meer in te vullen. Er zal automatisch een notificatie op je smartphone verschijnen waarop je kan aangeven dat jij de persoon bent die probeert in te loggen. Google handelt het hierna zelf verder af en zal jou automatisch inloggen op je pc. Weliswaar kan niet iedere app dit aanbieden en is het voorlopig nog enkel maar weggelegd voor de echte grote spelers, toch kan het mensen overtuigen om kennis te maken met twee-staps-verificatie.

Twee-staps-verificatie in applicatie's die hier niet op voorzien zijn

Een gekend probleem in de informatica is het ontstaan van nieuwe standaarden die natuurlijk van de ene op de andere dag niet overal ondersteund worden. Dit is ook het geval voor twee-staps-verificatie. Een mogelijk scenario is dat je twee-staps-verificatie geactiveerd hebt voor je Gmail-account maar een fervent gebruiker bent van bijvoorbeeld Outlook als e-mailclient. Wanneer je inlogt met je Gmail-account in de Outlook e-mailclient zal deze enkel om een wachtwoord vragen en zich dus niet kunnen authentiseren aangezien Gmail ook een verificatiecode verwacht. Voor deze scenario's bestaat er een tussenoplossing, nl. app-wachtwoorden. Je kan vanuit je Google-account een app-wachtwoord genereren dat je als wachtwoord kan gebruiken bij diensten die geen twee-staps-verificatie ondersteunen. Gmail zal in dit scenario zich tevreden stellen met dit app-wachtwoord en geen verificatiecode vereisen.

Pfoe, wie kan dit zonder technische kennis?

Een zin die we vaak horen. In de computertechnologie zien we al te vaak dat extra beveiliging gepaard gaat met extra complexiteit. Vroeger was een wachtwoord van 6 tekens voldoende, vandaag is zo een wachtwoord op minder dan een uur gekraakt.

De extra complexiteit remt het gebruik van twee-staps-verificatie natuurlijk ook af. Toch kan het een redder in nood zijn voor de bescherming van privacygevoelige- en bedrijfskritische data.