zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Dit is waarom je de meeste vormen van MFA beter niet kunt gebruiken

MFA wordt nog altijd gepresenteerd als de heilige graal die phishing-aanvallen bijtijds weet te stoppen

22 juni 2022 - Een meerderheid van de bedrijven en experts in cybersecurity zal je vertellen dat het altijd beter is om multifactorauthenticatie (MFA) te gebruiken dan alleen een gebruikersnaam en wachtwoord. Maar wat als je weet dat de meeste MFA makkelijk te phishen is? Jelle Wieringa, security awareness advocate bij KnowBe4, vertelt.

Wieringa: "Als jouw organisatie op dit moment nog geen MFA gebruikt, laat je dan niet misleiden door het advies dat elke vorm van MFA beter is dan wat je nu doet. In de kern klopt dat advies (nog) wel, maar als je denkt dat met het ‘aanzetten’ van welke MFA dan ook de organisatie een stuk beter beschermd is tegen phishing krijg je het deksel op je neus. Het gebruik van goede MFA: daar heeft de organisatie pas echt iets aan."



Hackers gaan uit van MFA
Wieringa: "MFA wordt nog altijd gepresenteerd als de heilige graal die phishing-aanvallen bijtijds weet te stoppen. Op dit moment is het inderdaad zo dat veel internetcriminelen geen rekening houden met MFA. Bij de helft van alle phishing-aanvallen wordt het beoogde slachtoffer gevraagd een wachtwoord prijs te geven. Als iemand een wachtwoord in combinatie met MFA gebruikt of vanwege MFA helemaal geen wachtwoord heeft, is de kans erg klein dat zo’n aanval slaagt.
Het probleem is dat steeds meer internetcriminelen er wél vanuit gaan dat hun doelwitten MFA toepassen. Miljoenen mensen die MFA gebruiken zijn al eens gehackt, sommigen zelfs vijftien jaar geleden al. De basis van MFA bestaat namelijk al heel lang en de kennis om het te omzeilen daarom ook. Nu organisaties en consumenten massaal MFA gaan inzetten, zullen steeds meer internetcriminelen zich toeleggen op het hacken van MFA. Er zijn zelfs bots en geautomatiseerde softwareprogramma’s die 24 uur per dag naar MFA zoeken en het systeem vervolgens proberen te kraken."

Goede versus zwakke MFA
Wieringa: "Geen wonder dat de Amerikaanse overheid begin dit jaar heeft afgekondigd dat overheidsorganisaties en bedrijven die met de overheid samenwerken alleen nog phishing resistant MFA mogen gebruiken. Maar wat is dan goede, oftewel niet te phishen MFA?
De nu gebruikelijke MFA (90 procent van wat er op de markt is!) heeft een component die te phishen is. Dat betekent dat een ander toegang kan krijgen tot de gebruikersomgeving met een stukje informatie dat te achterhalen is. De meeste vormen van MFA werken met codes die binnen een bepaald tijdslot moeten worden ingevuld. En dat systeem is helaas niet waterdicht.
Zo kan een beoogd slachtoffer een mailtje krijgen dat zogenaamd van Microsoft komt, met de boodschap dat ze een code gaan sturen om de identiteit van het slachtoffer te verifiëren – bijvoorbeeld omdat er zogenaamd iemand probeert in te loggen op zijn of haar account. Als het slachtoffer daarop ingaat en een door MFA gegenereerde code terugstuurt, voeren internetcriminelen die code in bij het inloggen en zijn ze binnen in bijvoorbeeld de mailbox. Hun volgende stap is om meteen MFA uit te zetten en een eventueel wachtwoord te veranderen, zodat de originele gebruiker is buitengesloten.
Goede MFA heeft geen component die te phishen is. Phishing resistant MFA is uniek aan de gebruiker. Het werkt op basis van biometrie of FIDO (Fast ID Online). Bij beide methodes is een fysieke actie nodig die een internetcrimineel niet kan overnemen, zoals het geven van je vingerafdruk of het in de computer steken van een fysieke sleutel. Die fysieke actie wordt bovendien uitsluitend goedgekeurd binnen bepaalde parameters. Het inloggen kan bijvoorbeeld alleen vanuit Nederland gebeuren."

Maak geen tussenstop
Wieringa: "Phishing resistant MFA is niet duurder of complexer dan de nu wijdverspreide MFA. Het punt is dat die zwakke MFA nog steeds hevig gepromoot en veelvuldig verkocht wordt door de cybersecurity-industrie. Dat moet stoppen, en gelukkig begint de industrie dat zelf ook in te zien. Het omzeilen van zwakke MFA door internetcriminelen is zo’n groot probleem aan het worden dat ze wel een oplossing moeten bieden.
Voor organisaties die nog geen MFA gebruiken is er alle reden om van niets naar meteen iets goeds te gaan, en geen tussenstop te maken bij zwakke MFA. Hoewel er in Nederland geen verplichtingen zijn zoals die van de Amerikaanse overheid, zijn er meer dan voldoende frameworks die voorschrijven dat phishing resistant MFA organisaties het best beschermt. Doe het dus in één keer goed en spoor daarmee fabrikanten en leveranciers aan om alleen nog sterke MFA naar de markt te brengen."
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Een op de vier bedrijven niet bezig met klimaat en duurzaamheid
 Gen-Z’ers en Millennials zouden van baan veranderen voor bedrijf dat beter aansluit bij waarden
 Duurzaamheidsmanagement steeds belangrijker voor moderne bedrijven
 

Gerelateerde nieuwsitems

 Hybride werken maakt een einde aan wachtwoorden
 Wachtwoordmisbruik treft bijna de helft van de organisaties
 Sterke klantauthenticatie: wat verandert er voor mij als consument?
 IT-professional ontevreden over beveiliging eigen website
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
Pas op met het snijden in de kosten als ondernemer
reacties
Top tien arbeidsmarktontwikkelingen 2022 (1) 
‘Ben jij een workaholic?’ (1) 
Een op de vier bedrijven niet bezig met klimaat en duurzaamheid (3) 
Eén op zeven Nederlanders staat niet achter aanbod van hun organisatie  (1) 
Drie manieren om te reageren op onterechte kritiek (1) 
Een cyber-survivalgids voor managers: hoe ga je om met cyberaanvallen?  (1) 
Mind your data (1) 
top10