zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Dit is waarom je de meeste vormen van MFA beter niet kunt gebruiken

MFA wordt nog altijd gepresenteerd als de heilige graal die phishing-aanvallen bijtijds weet te stoppen

22 juni 2022 - Een meerderheid van de bedrijven en experts in cybersecurity zal je vertellen dat het altijd beter is om multifactorauthenticatie (MFA) te gebruiken dan alleen een gebruikersnaam en wachtwoord. Maar wat als je weet dat de meeste MFA makkelijk te phishen is? Jelle Wieringa, security awareness advocate bij KnowBe4, vertelt.

Wieringa: "Als jouw organisatie op dit moment nog geen MFA gebruikt, laat je dan niet misleiden door het advies dat elke vorm van MFA beter is dan wat je nu doet. In de kern klopt dat advies (nog) wel, maar als je denkt dat met het ‘aanzetten’ van welke MFA dan ook de organisatie een stuk beter beschermd is tegen phishing krijg je het deksel op je neus. Het gebruik van goede MFA: daar heeft de organisatie pas echt iets aan."



Hackers gaan uit van MFA
Wieringa: "MFA wordt nog altijd gepresenteerd als de heilige graal die phishing-aanvallen bijtijds weet te stoppen. Op dit moment is het inderdaad zo dat veel internetcriminelen geen rekening houden met MFA. Bij de helft van alle phishing-aanvallen wordt het beoogde slachtoffer gevraagd een wachtwoord prijs te geven. Als iemand een wachtwoord in combinatie met MFA gebruikt of vanwege MFA helemaal geen wachtwoord heeft, is de kans erg klein dat zo’n aanval slaagt.
Het probleem is dat steeds meer internetcriminelen er wél vanuit gaan dat hun doelwitten MFA toepassen. Miljoenen mensen die MFA gebruiken zijn al eens gehackt, sommigen zelfs vijftien jaar geleden al. De basis van MFA bestaat namelijk al heel lang en de kennis om het te omzeilen daarom ook. Nu organisaties en consumenten massaal MFA gaan inzetten, zullen steeds meer internetcriminelen zich toeleggen op het hacken van MFA. Er zijn zelfs bots en geautomatiseerde softwareprogramma’s die 24 uur per dag naar MFA zoeken en het systeem vervolgens proberen te kraken."

Goede versus zwakke MFA
Wieringa: "Geen wonder dat de Amerikaanse overheid begin dit jaar heeft afgekondigd dat overheidsorganisaties en bedrijven die met de overheid samenwerken alleen nog phishing resistant MFA mogen gebruiken. Maar wat is dan goede, oftewel niet te phishen MFA?
De nu gebruikelijke MFA (90 procent van wat er op de markt is!) heeft een component die te phishen is. Dat betekent dat een ander toegang kan krijgen tot de gebruikersomgeving met een stukje informatie dat te achterhalen is. De meeste vormen van MFA werken met codes die binnen een bepaald tijdslot moeten worden ingevuld. En dat systeem is helaas niet waterdicht.
Zo kan een beoogd slachtoffer een mailtje krijgen dat zogenaamd van Microsoft komt, met de boodschap dat ze een code gaan sturen om de identiteit van het slachtoffer te verifiëren – bijvoorbeeld omdat er zogenaamd iemand probeert in te loggen op zijn of haar account. Als het slachtoffer daarop ingaat en een door MFA gegenereerde code terugstuurt, voeren internetcriminelen die code in bij het inloggen en zijn ze binnen in bijvoorbeeld de mailbox. Hun volgende stap is om meteen MFA uit te zetten en een eventueel wachtwoord te veranderen, zodat de originele gebruiker is buitengesloten.
Goede MFA heeft geen component die te phishen is. Phishing resistant MFA is uniek aan de gebruiker. Het werkt op basis van biometrie of FIDO (Fast ID Online). Bij beide methodes is een fysieke actie nodig die een internetcrimineel niet kan overnemen, zoals het geven van je vingerafdruk of het in de computer steken van een fysieke sleutel. Die fysieke actie wordt bovendien uitsluitend goedgekeurd binnen bepaalde parameters. Het inloggen kan bijvoorbeeld alleen vanuit Nederland gebeuren."

Maak geen tussenstop
Wieringa: "Phishing resistant MFA is niet duurder of complexer dan de nu wijdverspreide MFA. Het punt is dat die zwakke MFA nog steeds hevig gepromoot en veelvuldig verkocht wordt door de cybersecurity-industrie. Dat moet stoppen, en gelukkig begint de industrie dat zelf ook in te zien. Het omzeilen van zwakke MFA door internetcriminelen is zo’n groot probleem aan het worden dat ze wel een oplossing moeten bieden.
Voor organisaties die nog geen MFA gebruiken is er alle reden om van niets naar meteen iets goeds te gaan, en geen tussenstop te maken bij zwakke MFA. Hoewel er in Nederland geen verplichtingen zijn zoals die van de Amerikaanse overheid, zijn er meer dan voldoende frameworks die voorschrijven dat phishing resistant MFA organisaties het best beschermt. Doe het dus in één keer goed en spoor daarmee fabrikanten en leveranciers aan om alleen nog sterke MFA naar de markt te brengen."
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Een op de drie Nederlanders met hoog inkomen kan door geldgebrek rekening niet betalen
 Hoe smishing misbruik maakt van populaire mobiele providers
 Mimecast waarschuwt voor phishing uit naam van Twitter
 

Gerelateerde nieuwsitems

 Hybride werken maakt een einde aan wachtwoorden
 Wachtwoordmisbruik treft bijna de helft van de organisaties
 Sterke klantauthenticatie: wat verandert er voor mij als consument?
 IT-professional ontevreden over beveiliging eigen website
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
advertorial
Waar sta jij voor als leider?
Wat heb je als leider van vandaag en morgen nodig om jouw doelen te behalen? Het antwoord op deze en andere vragen, vind je in het boek ‘Leiderschap in Beeld’ door hoogleraar Jan de Vuijst. TIAS deelt de eerste 4 hoofdstukken in een gratis e-book.
Lees verder
Welke opleiding past bij jou
Hoe vind ik een goede advocaat
Wat kan ik allemaal met een mkb boekhouding
reacties
Een nieuwe taal leren, maar dan anders (1) 
Wat is er nodig voor échte duurzame en sociale impact? (1) 
De Metaverse: wat kan je er eigenlijk mee? (2) 
Helft Nederlandse werknemers last van mentale problemen, verergerd door kosten levensonderhoud (1) 
Data-savvy organisaties zijn winstgevender, veerkrachtiger en innovatiever (1) 
Hoe laat ik anderen zelf nadenken? (1) 
Zeven tips voor het omgaan met klagende medewerkers (4) 
top10
Nederlandse werkgevers staan sporten onder werktijd niet toe
Met geknepen billen achter het stuur: storm, regen en gladheid zorgen voor de meeste zenuwen
Hoe bedrijven hun CX kunnen optimaliseren voor groei in een dynamische markt
Organisaties investeren meer in DEI-initiatieven,
Zorgverzekeraar roept bestuurders op om vijf procent werktijd te besteden aan welzijn medewerkers
Organisaties willen SD-WAN, maar laten kansen liggen
HR-professionals staan niet achter huidige wet- en regelgeving
Bedrijven moeten medewerkers meer vrijheid geven om hun eigen productieve werkomgeving te creëren
Marketingmanagers horen na te denken over online nichestrategieën
Acht stappen om een toxische werkomgeving te voorkomen
meer top 10