Het tijdperk van wachtwoorden moet over een tijdje achter ons liggen, maar zelfs met authenticatietools als Face ID van Apple en Hello van Microsoft is wachtwoordbeveiliging nog steeds de kern van het systeem. Tweefactor-authenticatie (2FA) blijft daarom van levensbelang. Met 2FA krijg je een tweede privésleutel die bijvoorbeeld uit hardwareinformatie wordt gedestilleerd.

Een aanvaller heeft dan niet alleen je credentials nodig, maar ook je tweede authenticatiemiddel, bijvoorbeeld je smartphone of usb-sleutel, om in te breken op je account. Dat systeem is niet waterdicht. Een sms'je met zo'n sleutel kan bijvoorbeeld worden opgeschept en daarom adviseert NIST om sms-2FA uit te faseren.

De hierna volgende opties om die tweede code te genereren en te gebruiken ondersteunen de meeste 2FA-implementaties van websites en diensten. Een opvallende uitzondering is Steam, die zijn eigen 2FA-optie gebruikt in een eigen mobiele app.

Google Authenticator

Een van de meestgebruikte manieren om tweefactor te gebruiken is met Google Authenticator. Dit is een gratis app van Google op zowel Android als iOS. Het gebruik is simpel en een prima introductie tot het concept voor de meeste mensen. Je stelt 2FA in op diensten als Facebook, Gmail en Dropbox. Die koppel je aan de app door een unieke QR-code van de gedeelde publieke sleutel te scannen.

Let wel dat tweefactor hier vaak tweestaps wordt genoemd - er is een verschil waar we in dit artikel verder maar even niet op ingaan. Na het inlezen van de QR-code, genereert de app elke halve minuut een individuele code, waar de site vervolgens om vraagt als je in probeert te loggen met je wachtwoord. Je kunt zoveel accounts toevoegen als je wilt, zodat er codes worden gegenereerd voor Google, Facebook, Coinbase of welke dienst dan ook.

LastPass Authenticator

De gratis authenticatie-app van LastPass heeft een pushmeldingsfeature waarmee je kan inloggen op pc's en bepaalde websites met een druk op de knop in plaats van het invoeren van codes. Dat gaat zo:

De feature werkt voor LastPass zelf en vijf sites van derden: Google, Facebook, Dropbox, Evernote en Amazon (uitgezonderd AWS). Je moet de LastPass-extensie hebben en dus een LastPass-account. Premium is geen eis, dus je kunt ook met je gratis account aan de slag. De logins met één klik zijn browserspecifiek; als je zo inlogt in Chrome en daarnaast Edge gebruikt, moet je het voor die browser een tweede keer doen.

Als een gebruiker inlogt bij een compatibele site, zorgt de extensie in de browser voor een pushbericht naar de telefoon. Als gebruiker geef je op dat moment toestemming en die wordt teruggestuurd naar de browserextensie. Die communiceert de goedkeuring naar de site die om verificatie vraagt en de gebruiker wordt dan ingelogd.

LastPass Authenticator integreert ook met diverse sites van eigenaar LogMeIn om deze voor gebruikers vereenvoudigde 2FA-feature te ondersteunen, zoals LogMeIn Pro/Central, GotoAssist, LogMeIn Rescue en Xively.

Authy

Als je 2FA al een tijdje gebruikt, ken je de misère van het overstappen op een nieuwe smartphone en het opnieuw activeren van de authenticatie-app. Het komt erop neer dat je al die QR-codes opnieuw moet inscannen en voor mensen die veel 2FA-opties gebruiken en elk jaar overstappen op een nieuwe smartphone, is dat een hele onderneming.

De gratis dienst Authy probeert dat op te lossen door de 2FA-tokens - de data-elementen die achter de schermen de sleutelkoppeling maken - op te slaan in de cloud. Je moet dan wel backups versleutelen om ze te kunnen opslaan op de servers, waarmee Authy voorkomt zelf toegang te hebben tot de sleutels.

Er is een nadeel. De back-ups worden versleuteld op basis van een wachtwoord en dat wachtwoord is de enige manier om te ontsleutelen: Authy bewaart het wachtwoord niet. Dat maakt het veilig, maar het betekent dat je niet meer bij al je 2FA-beschermde accounts kunt mocht je dat wachtwoord verliezen. Dan moet je een recoveryprocedure volgen bij al die sites.

Microsoft Authenticator

Microsoft biedt ook een app voor Android, iOS en Windows 10 Mobile. Het gebruikt net als de app van Google de geleverde QR-code om een apparaat te koppelen. Voor Microsoft Accounts heeft het de éénkliksmethode die je ook hebt in LastPass. Je hoeft op dat moment alleen de toegang goed te keuren en je wordt ingelogd. Het is niet zo heel erg veel sneller, maar wel gebruiksvriendelijk.

Als laatste: een hardwaresleutel is mijn favoriete oplossing.

Yubico Authenticator

Dit is persoonlijk de oplossing die ik het liefst gebruik: YubiKey is een hardwareoplossing. Het is een kleine sleutel met een usb-connector. Die verifieert authenticatie met een druk op een knop in plaats van een code. Dat werkt voor accounts die de FIDO U2F-standaard ondersteunen, zoals Google en GitHub. Voor accounts zonder die ondersteuning slaat de YubiKey 2FA-tokens op en worden codes weergegeven op een gekoppelde app.

Op de pc steek je de sleutel in een usb-poort en de Authenticator (Linux, Mac, Windows) laat meteen de codes zien of laat je nieuwe toevoegen. Zodra je de sleutel ontkoppelt, verdwijnt de applicatie met codes meteen. Yubico Authenticator werkt op de pc met de meeste YubiKeys behalve de basale FDIDo U2F-sleutel.

Bovenstaande YubiKey Neo is de enige sleutel die op Android werkt, omdat deze sleutel NFC ondersteunt. Net as Authy is het fijne dat het makkelijk is als je overstapt op een ander apparaat. Het nadeel is dat als de YubiKey kapot gaat (hij is overigens waterdicht en duurzaam) je de 2FA-methode per site moet aanpassen.