De voor- en nadelen van verschillende MFA-methoden

Multifactorauthenticatie (MFA) helpt een extra beveiligingslaag toe te voegen aan accounts, maar het is belangrijk om te begrijpen dat niet alle MFA-methoden gelijk zijn wat betreft gebruiksgemak en beveiliging. In deze blog bespreken we de verschillende soorten MFA-methoden, samen met de voor- en nadelen van elk.

MFA via sms

Met MFA via sms kunnen gebruikers hun identiteit verifiëren via een eenmalig wachtwoord (OTP) dat naar hun telefoon wordt verzonden. Wanneer een gebruiker probeert in te loggen op hun account, stuurt het systeem een unieke OTP via sms naar het geassocieerde telefoonnummer. De gebruiker moet vervolgens de code invoeren in de inloginterface om het authenticatieproces te voltooien en toegang te krijgen tot hun account.

Voordelen

1. Eenvoudig te installeren en te gebruiken: gebruikers hebben alleen een geldig telefoonnummer nodig.

2. Op grote schaal beschikbaar: bijna alle mobiele telefoons kunnen sms’jes ontvangen, of het nu gaat om smartphones of standaardtelefoons.

3. Geen speciale hardware vereist: gebruikers hebben alleen een mobiele telefoon nodig die sms’jes kan ontvangen.

Nadelen

1. Kwetsbaar voor sim-swapping: een aanvaller kan de mobiele provider van een gebruiker misleiden om het telefoonnummer van de gebruiker over te dragen naar een nieuwe simkaart die de aanvaller beheert. Hierdoor kunnen aanvallers sms’jes onderscheppen, waaronder OTP’s.

2. Kwetsbaar voor phishing: aanvallers kunnen zich voordoen als legitieme organisaties via sms’jes, waarbij gebruikers worden misleid om hun OTP’s te onthullen.

3. Niet zo veilig als andere MFA-methoden: sms’jes worden niet versleuteld, wat betekent dat er een risico bestaat dat de OTP tijdens de verzending wordt onderschept.

MFA via e-mail

Met MFA via e-mail kunnen gebruikers zichzelf verifiëren via een code of magic link die naar hun geregistreerde e-mailadres wordt verzonden. Wanneer een gebruiker probeert in te loggen op hun account, ontvangen ze een e-mail met een OTP of een magic link. De gebruiker moet vervolgens het OTP invoeren of op de magic link klikken om het authenticatieproces te voltooien en toegang te krijgen tot hun account.

Voordelen

1. Eenvoudig in te stellen en te gebruiken: gebruikers hebben alleen een e-mailadres nodig, dat de meeste al hebben.

2. Geen extra apps of apparaten nodig: het vereist alleen een apparaat met toegang tot het e-mailaccount van de gebruiker, of het nu een smartphone, tablet of computer is.

Nadelen

1. Kwetsbaar voor het schenden van e-mailaccounts: als het e-mailaccount van een gebruiker wordt gecompromitteerd, kan een aanvaller toegang krijgen tot de OTP en de MFA te omzeilen.

2. Vertrouwt op de beschikbaarheid van e-mail: als de gebruiker geen toegang heeft tot hun e-mailaccount vanwege problemen zoals een onbeschikbare internetverbinding of serviceonderbrekingen, wordt voorkomen dat ze inloggen op hun account, omdat geen OTP of magische link kan worden ontvangen.

Authenticatie via een spraakoproep

Met telefonische verificatie kunnen gebruikers zichzelf verifiëren via een OTP die via een spraakoproep wordt verzonden naar het geregistreerde telefoonnummer dat is gekoppeld aan hun account. Wanneer een gebruiker probeert in te loggen op hun account, ontvangen ze een geautomatiseerde spraakoproep waarbij het systeem een unieke OTP leest. De gebruiker voert deze code vervolgens in de inloginterface in om het authenticatieproces te voltooien en toegang te krijgen tot hun account.

Voordelen

1. Eenvoudig en toegankelijk voor gebruikers zonder smartphones: vereist geen smartphone of dataabonnement van gebruikers, in tegenstelling tot sms-gebaseerde of authenticatie-apps. Er is alleen een eenvoudige mobiele telefoon nodig die oproepen kan ontvangen.

2. Werkt zonder een internetverbinding nodig te hebben: zolang de gebruiker toegang heeft tot het mobiele netwerk, kunnen ze een spraakoproep ontvangen met de OTP, ongeacht de internettoegang.

Nadelen

1. Kwetsbaar voor sim-swapping: een aanvaller kan de mobiele provider van een gebruiker misleiden om het telefoonnummer van de gebruiker over te dragen naar een nieuwe simkaart die de aanvaller beheert. Hierdoor kunnen aanvallers de OTP onderscheppen die wordt verzonden via een spraakoproep.

2. Kwetsbaar voor spoofing en vishing: aanvallers kunnen het telefoonnummer van een legitieme service vervalsen en gebruikers misleiden zodat ze geloven dat ze een OTP-oproep ontvangen. De aanvaller kan vervolgens gevoelige gegevens vragen of de gebruiker overtuigen om de OTP in te voeren op een kwaadaardige website.

3. Beperkingen door gehoorproblemen: gebruikers met gehoorproblemen kunnen de OTP die tijdens het gesprek wordt verstrekt mogelijk niet duidelijk horen.

Authenticatie-apps

Authenticatie-apps zijn applicaties die OTP’s genereren op basis van het Time-Based One-Time Password (TOTP)-verificatiemodel. Wachtwoordmanagers van betere kwaliteit hebben meestal een authenticatie-app-functie binnen het platform, waardoor gebruikers codes op alle apparaten kunnen opslaan en openen.

Wanneer gebruikers MFA instellen met een authenticatie-app, scannen ze een QR-code of voeren ze handmatig een geheime sleutel in. Met deze sleutel past de app een algoritme toe om unieke, tijdgevoelige OTP’s te genereren die elke 30 tot 60 seconden wijzigen. Wanneer een gebruiker probeert in te loggen op hun account, moeten ze de code invoeren die wordt weergegeven in de authenticatie-app. De server verifieert of de ingevoerde code overeenkomt met de code die is gegenereerd. Als dit het geval is, krijgt de gebruiker toegang.

Voordelen

1. Offline beschikbaar: het vereist geen internetverbinding om OTP’s te genereren, omdat de app vertrouwt op de geheime sleutel die op het apparaat is opgeslagen om tijdgebonden codes te genereren.

2. Gratis te gebruiken: de meeste authenticatie-apps zijn gratis te downloaden en te gebruiken, waardoor het een veilige maar kosteneffectieve MFA-oplossing wordt.

Nadelen

1. Vereist een smartphone of een ander speciaal apparaat: gebruikers moeten toegang hebben tot een apparaat dat de app ondersteunt.

2. Kwetsbaar voor app-specifieke aanvallen: als een aanvaller toegang krijgt tot het apparaat van een gebruiker, hebben ze toegang tot de opgeslagen geheime sleutels om OTP’s te genereren voor ongeautoriseerde toegang.

3. Kan een uitdaging zijn voor sommige gebruikers: het proces van het installeren van de app, het scannen van een QR-code en het beheren van meerdere online accounts binnen de app kan overweldigend zijn voor gebruikers met minder technische kennis.

FIDO2-beveiligingssleutels

Een FIDO2-beveiligingssleutel is een hardwarematige MFA-methode die is ontworpen om gebruikers in staat te stellen veilig in te loggen op hun accounts zonder een wachtwoord of code in te voeren. Het is een fysiek apparaat dat een gebruiker verbindt met hun computer of mobiele apparaat, meestal via USB, NFC of Bluetooth. FIDO2-beveiligingssleutels gebruiken cryptografie met openbare sleutels om een paar sleutels te maken: een openbare sleutel die is opgeslagen op de server en een privésleutel die veilig is opgeslagen op de beveiligingssleutel zelf. Wanneer een gebruiker probeert in te loggen op een account, voegen ze de FIDO2-beveiligingssleutel in wanneer ze daarom worden gevraagd. Tik erop om de authenticatie-uitdaging te bevestigen met de privésleutel om hun identiteit te verifiëren.

Voordelen

1. Immuun voor man-in-the-middle-aanvallen: aanvallers kunnen de gegevens tussen de gebruiker en de server niet onderscheppen, omdat ze de privésleutel niet hebben die nodig is om de authenticatie te voltooien.

2. Immuun voor phishing-aanvallen: aanvallers kunnen gebruikers niet misleiden om privésleutels of authenticatiecodes te onthullen vanwege het vertrouwen op cryptografie met openbare sleutels en de fysieke vereiste van de beveiligingssleutel.

3. Bestand tegen sim-swapping: de beveiligingssleutels zijn niet afhankelijk van een telefoonnummer, zodat de kwetsbaarheid voor sim-swapping wordt geëlimineerd.

4. Werkt op verschillende apps en websites: FIDO2-beveiligingssleutels worden op grote schaal ondersteund op prominente browsers, platforms en apparaten.

Nadelen

1. Kost geld: FIDO2-beveiligingssleutels kunnen worden geprijsd van € 20 – € 100 of meer, afhankelijk van de functies en het merk.

2. Verlies van de sleutel kan leiden tot lockout als er geen back-upmethode is geconfigureerd: als een gebruiker hun FIDO2-beveiligingssleutel verliest, kunnen ze worden buitengesloten van hun account, tenzij ze een back-upmethode voor authenticatie hebben, zoals een andere sleutel, een back-upcode of een hersteloptie.

3. Vereist een fysiek apparaat: gebruikers moeten de sleutel altijd bij zich hebben om zich te authenticeren, wat vervelend kan zijn als deze ooit wordt verloren, vergeten of niet gemakkelijk toegankelijk is.

Hardwaretokens

Hardwaretokens zijn fysieke apparaten, zoals keyfobs of smartcards, die worden gebruikt om de identiteit van een gebruiker te verifiëren door TOTP-codes te genereren. Wanneer een gebruiker probeert in te loggen op hun account, vraagt het systeem de gebruiker om de OTP in te voeren die wordt gegenereerd door het hardwaretoken. Afhankelijk van het type token leest de gebruiker de code op het scherm van het apparaat of drukt de gebruiker op een knop om de code weer te geven, die vervolgens wordt ingevoerd in de inloginterface. De server controleert of de ingevoerde code overeenkomt met de gegenereerde code op basis van het gedeelde geheim en de huidige tijd. Als de codes overeenkomen, krijgt de gebruiker toegang.

Voordelen

1. Het genereert OTP’s, zelfs zonder een internetverbinding: dit maakt het ideaal voor gebruikers in omgevingen waar een internetverbinding niet beschikbaar is.

2. Eenvoudig in te stellen en te gebruiken: de gebruiker hoeft het hardwaretoken gewoon te koppelen aan hun account, waarna het klaar is om automatisch OTP’s te genereren zonder verdere tussenkomst.

Nadelen

1. Kost geld: gebruikers of organisaties moeten het fysieke apparaat kopen, wat kan oplopen, vooral voor grotere bedrijven die tokens moeten verstrekken voor meerdere of alle gebruikers. Tokens kunnen variëren in prijs van € 20 – € 100 of meer.

2. Verloren of gestolen tokens: gebruikers hebben mogelijk geen toegang tot hun accounts totdat een vervanging is verstrekt, wat tijdrovend kan zijn.

3. Vereist een fysiek apparaat: gebruikers moeten de tokens te allen tijde bij zich dragen om toegang te krijgen tot hun accounts, wat lastig kan zijn als een token wordt vergeten of kwijtgeraakt.

Biometrische verificatie

Biometrische authenticatie is een type MFA-methode die fysieke of gedragskenmerken gebruikt om de identiteit van een gebruiker te verifiëren. In tegenstelling tot traditionele wachtwoorden of OTP-codes, maakt biometrische authenticatie gebruik van unieke kenmerken die inherent zijn aan elk individu. Deze eigenschappen kunnen vingerafdrukken, gezichtskenmerken, stempatronen, iris- of netvliesscans of zelfs typepatronen zijn. Wanneer een gebruiker probeert in te loggen, legt het systeem hun biometrische gegevens vast en analyseert deze en vergelijkt deze met de opgeslagen gegevens van de oorspronkelijke installatie om hun identiteit te verifiëren.

Voordelen

1. Snel, eenvoudig en vereist minimale installatie: de eerste installatie vereist dat de gebruiker hun vingerafdruk, gezicht of een andere biometrische kenmerken scant. Eenmaal ingesteld, vereist authenticatie niets meer dan een blik of aanraking.

2. Uniek voor elke gebruiker: biometrische kenmerken zijn moeilijk te repliceren en de kans dat twee mensen exact dezelfde vingerafdruk, gelaatskenmerken of netvliespatroon hebben, is extreem laag.

Nadelen

1. Werkt mogelijk niet effectief onder bepaalde omstandigheden, zoals bijvoorbeeld: als de vinger van een gebruiker vies of gewond is, kan het systeem moeite hebben om de vingerafdruk correct te lezen. Op dezelfde manier, als ze een bril, mondmaskers of hoeden dragen, kan het systeem het gezicht niet nauwkeurig scannen.

2. Zorgen over privacy en misbruik van biometrische gegevens: als biometrische gegevens onveilig worden opgeslagen of geopend, kunnen ze kwetsbaar zijn voor diefstal of misbruik.

3. Mogelijk valse positieven: tweelingen of vergelijkbaar ogende personen met vergelijkbare gezichtskenmerken kunnen bijvoorbeeld een vals positief resultaat veroorzaken.

Pushmeldingen

Met pushmeldingen kunnen gebruikers hun identiteit verifiëren door een melding te ontvangen op hun mobiele apparaat. Wanneer de gebruiker probeert in te loggen, ontvangt deze een pushmelding die vraagt de inlogpoging goed te keuren of te weigeren. Door ‘goedkeuren’ te selecteren, verifieert de gebruiker hun identiteit en bevestigt dat deze degene is die de login initieert zonder handmatig een code in te voeren.

Voordelen

1. Snel goedkeuringsproces: in tegenstelling tot OTP-methoden, waarbij de gebruiker moet wachten op een sms en een code moet invoeren, is het goedkeuringsproces voor pushmeldingen onmiddellijk.

2. Veiliger dan sms’jes: pushmeldingen worden geleverd via een versleutelde verbinding met de server, waardoor ze minder kwetsbaar zijn voor onderschepping.

Nadelen

1. Vereist een smartphone of apparaat om de pushmelding te ontvangen: een apparaat dat meldingen kan ontvangen, is vereist om het authenticatieproces te voltooien.

2. Mogelijk niet effectief als de telefoon van de gebruiker verloren, gestolen, offline of in de vliegtuigmodus is: Als een gebruiker hun smartphone niet heeft of zich in een situatie bevindt waarin hun apparaat niet beschikbaar is, hebben ze geen toegang tot hun accounts.

Waar u rekening mee moet houden bij het kiezen van een MFA-methode

Wanneer u beslist welke MFA-methode u moet gebruiken, is het belangrijk om verschillende factoren te evalueren om ervoor te zorgen dat de gekozen oplossing aan uw specifieke vereisten voldoet. Deze factoren zijn uw beveiligingsbehoeften, gemak en implementatiekosten.

• Beveiligingsbehoeften: het beveiligingsniveau dat u nodig hebt, varieert, afhankelijk van de gevoeligheid van de te beschermen gegevens. Voor zeer gevoelige gegevens is het het beste om een MFA-oplossing te kiezen die het hoogste beschermingsniveau biedt. Oplossingen zoals biometrische gegevens, hardwaretokens of FIDO2-beveiligingssleutels worden beschouwd als de sterkste vormen van MFA vanwege hun weerstand tegen veelvoorkomende cyberbedreigingen.
• Gebruiksgemak: overweeg of er voorkeur moet worden gegeven aan toegangsgemak of maximale beveiliging. Het is belangrijk om een balans te vinden tussen eenvoud en beveiliging om een gebruikersvriendelijke ervaring te waarborgen terwijl gevoelige gegevens blijven beschermd. Als gemak een prioriteit is, zijn oplossingen zoals biometrische gegevens of pushmeldingen ideaal, omdat ze snelle en naadloze authenticatie bieden.
• Kosten: beoordeel zowel de aanvankelijke kosten van implementatie als de doorlopende onderhoudskosten. Sommige MFA-oplossingen kunnen lage kosten hebben, zoals authenticatie via sms, terwijl andere, zoals hardwaretokens of FIDO2-beveiligingssleutels, duurder kunnen zijn om te implementeren en te onderhouden.

Bescherm uw accounts met veilige MFA-methoden

Het is cruciaal om zowel de voor- als nadelen van verschillende methoden te begrijpen bij het selecteren van de juiste MFA-oplossing. Ongeacht de methode die u kiest, schakel MFA altijd in voor elk account waarbij deze als optie wordt gegeven. Elke optie voor MFA is veel veiliger dan helemaal geen.

Met Keeper Password Manager kunt u TOTP-codes opslaan, openen, veilig delen en zelfs automatisch laten invullen. Hierdoor kunnen alle gebruikers in uw organisatie sterke wachtwoorden gebruiken en MFA inschakelen voor elk account.

Begin met een gratis proefperiode van 14 dagen van Keeper Password Manager om de beveiliging van uw account te verbeteren.