Een gewaarschuwd mens telt voor twee, maar het betekent niet altijd dat iemand er ook op acteert. Er zijn diverse campagnes geweest om te zorgen dat mensen minder voor de hand liggende wachtwoorden kiezen en niet voor elk account en elke site of programma hetzelfde wachtwoord herhalen. Toch kiezen nog steeds veel mensen voor een te eenvoudig wachtwoord. Een account kan echter extra worden beveiligd door tweestapsverificatie of multifactorauthenticatie. Dit is het verschil tussen de twee.
Welke extra factor of stap je ook toevoegt na het invoeren van een wachtwoord, het doel ervan is hetzelfde. De gebruiker moet twee handelingen doen om in zijn account te komen en dat moet vaak met behulp van een ander apparaat dat de gebruiker wel in zijn bezit heeft. Een veelgebruikt apparaat hiervoor is de telefoon. Een andere optie is om niet gebruik te maken van iets dat de gebruiker in zijn bezit heeft, maar een biometrische factor zoals een vingerafdruk.
Tip: Passwordless: verdwijnen wachtwoorden of zijn ze een blijvertje?
Tweestapsverificatie
Hoewel veel mensen tweefactorauthenticatie zien als iets dat onlosmakelijk is verbonden met het internet, is de meest gebruikte variant hiervan helemaal niet iets waar je zelf een browser of app voor nodig hebt. Dat is namelijk iets ogenschijnlijk simpels als pinnen. Je gebruikt hiervoor niet alleen iets dat je weet, dus een pincode. Je gebruikt iets dat je in je bezit hebt, namelijk je pinpas. Deze vrij sterke vorm van authenticatie wordt dus al decennialang ingezet en is zeker niet slechts een bijkomstigheid van het internet.
Niet veel mensen weten het, maar er is een verschil tussen tweefactorauthenticatie (2FA) en tweestapsverificatie (2SA). Beiden bieden een extra stap naast een wachtwoord om een account te beveiligen, maar er zit wel degelijk een verschil tussen de twee.
Tweefactorauthenticatie betekent dat je twee manieren gebruikt om te verifiëren dat jij het bent. Dat moeten twee verschillende factoren zijn die vallen binnen: iets dat je weet (vaak een wachtwoord), iets dat je hebt (bijvoorbeeld een smartphone waarmee je via een app goedkeuring geeft) of iets dat je bent (biometrische gegevens, zoals je vingerafdruk).
Voor tweestapsverificatie geldt iets anders. Hier heb je ook twee wijzen om te laten zien dat jij het echt bent die op je account inlogt, maar dat hoeven niet per se twee verschillende factoren te zijn, zoals hierboven beschreven. Denk aan twee wachtwoorden, of zowel een gezichtsscan als een vingerafdruk.
Gmail
Gmail heeft lang gebruikgemaakt van tweestapsauthenticatie, waarbij je eerst het wachtwoord van je e-mail gebruikte, maar daarna ook nog een code moest invoeren die je op je smartphone kreeg. Inmiddels heeft deze tweestapsverificatie plaatsgemaakt voor tweefactorauthenticatie en krijg je een melding op je telefoon die je moet goedkeuren, die via het internet wordt doorgegeven in plaats van dat je een code moet invoeren.
Hoewel veel van de verificatieopties erg aanlokkelijk is, geldt er een wezenlijk verschil tussen de varianten. Een sms’je of e-mail kan bijvoorbeeld makkelijker worden onderschept dan een speciale app op een telefoon in combinatie met een wachtwoord. Hierdoor is alsnog niet elke tweede stap even waterdicht.
Tweefactorauthenticatie wordt vaak wel als veiliger gezien, omdat je hierbij vaak gebruik moet maken van ofwel twee verschillende apparaten, ofwel een combinatie van iets dat je weet (en wat een ander ook te weten kan komen) gecombineerd met iets wat je bent (en wat minder makkelijk te kopiëren is).
Dan staat er nog steeds een vraag open: wat is dan het verschil tussen de verificatie in twee stappen of de multifactor. In principe is ook hier het sleutelwoord ‘factor’ en is het verschil hetzelfde als hierboven beschreven. Alleen is multifactor niet per definitie twee. Het kan dus zijn dat er nog een derde verificatie nodig is.
Multifactorauthenticatie
Denk bijvoorbeeld aan inloggen door een wachtwoord in te voeren, vervolgens via een vraag in een speciale app op je telefoon goedkeuring geven en daar nog eens een vingerafdruk op moeten invoeren. Hierbij gebruik je dus zowel iets dat je weet, iets dat je eigendom is als iets dat je bent.
Tot slot vraag je je mogelijk af wat het verschil dan is tussen verificatie en authenticatie. Hoewel het klinkt alsof dit ongeveer hetzelfde is en we ze hierboven ook door elkaar hadden kunnen gebruiken, zijn ze wel degelijk verschillend. Verificatie gaat om: ben je wel een echt persoon? Dus: ben je geen robot en is er informatie van je bekend in het systeem waarop je inlogt.
Authenticatie gaat een stapje verder, namelijk: ben je wel wie je zegt dat je bent? Vaak maken authenticatiesystemen dan ook gebruik van een eigen smartphone of biometrische gegevens, waarmee snel kan worden vastgesteld wie je exact bent.
Kortom, als je je aanmeldt op een website en je ontvangt in je mailbox een mail met een link waarop je moet klikken om je account te bevestigen, dan kun je zowel met verificatie als authenticatie te maken hebben. Immers kan zowel een geautomatiseerd programma allemaal accounts aanmaken, waar jouw e-mailadres voor is gebruikt (robots dus), of iemand kan zich -al dan niet bewust- voordoen als jou door je e-mailadres te gebruiken. Dat kan echter ook een spelfoutje zijn in het eigen e-mailadres.
Smartphone kwijt
Tweestapverificatie, tweefactorauthenticatie en multifactorauthenticatie: allemaal hebben ze hun gezamenlijke voors en tegens. Zo is bijvoorbeeld het kwijtraken van je smartphone een groot probleem als je hierop normaliter extra verificatie geeft. Ook ligt er een probleem bij veel websites in wat er wordt gekozen als gebruikersnaam.
Als je gebruikersnaam je e-mailadres is, dan maak je het een cybercrimineel wel heel makkelijk om meer te ontdekken over wie je bent. Iedereen weet immers naar welk e-mailadres een wachtwoordresetmail wordt gestuurd. Daarnaast staat er vaak in een e-mailadres een volledige naam te lezen, waardoor de gegevens van een gebruiker ook eerder bekend zijn dan zij zelf realiseren.
Op de vraag wat de beste manier is om je systemen veilig te stellen en tegelijkertijd de juiste mensen hiertoe toegang te geven, dan is het meest doortastend de multi-factor authentication. Hierbij worden meerdere factoren gebruikt, waardoor cybercriminelen meerdere methodes nodig hebben om in te breken. Bovendien gaat het er niet alleen om dat je een mens bent, maar ook dat je de juiste persoon bent.
De medewerkers meekrijgen
Echter komt multi-factorauthenticatie ook met zijn uitdagingen. Zo vinden veel mensen het teveel moeite, zeker als ze vaak in- en uitloggen. Hierdoor zijn sommige gebruikers geneigd om dit te omzeilen of simpelweg niet te gebruiken, als ze hiertoe de kans hebben. Daarnaast blijft het een probleem als iemand bijvoorbeeld zijn smartphone verliest. Een andere reden waardoor het als bedrijf moeilijk kan zijn om multi-factorauthenticatie uit te rollen is dat mensen hiervoor in veel gevallen privé toestellen moeten gebruiken. Dat kan medewerkers tegen de borst stuiten.
Het is dus van de organisatie afhankelijk of multi-factorauthenticatie de beste keuze is. In ieder geval is het goed om te weten wat de verschillen zijn tussen de factor en de stap, maar ook verificatie en authenticatie. Zo kun je goed geïnformeerd een gesprek voeren over dit cruciale moment in je bedrijfsvoering. Zeker nu veel medewerkers vanuit hun eigen, vaak minder goed beveiligde, thuisnetwerken toegang nodig hebben tot het bedrijfsnetwerk.