Een van de handigste manieren waarop mobiele gebruikers kunnen inloggen op apps – en de methode waarop veel bedrijven vertrouwen om toegang te verlenen – is een eenmalig wachtwoord, oftewel OTP, dat vaak via sms wordt gedeeld. Maar er is een groeiende consensus onder cyberbeveiligingsexperts dat eenmalige wachtwoorden, net als traditionele wachtwoorden, uitgefaseerd moeten worden, hoewel experts zeggen dat het twijfelachtig is dat dit binnenkort zal gebeuren.
Consumenten wordt dringend verzocht aandacht te besteden aan de verschillende soorten eenmalige wachtwoorden en de relatieve veiligheidsrisico’s in vergelijking met de voordelen die elk ervan biedt. De ervaring leert dat er altijd manieren zijn om authenticatie te omzeilen, maar sommige methoden zijn sterker dan andere, aldus Ant Allan, vice-president-analist bij Gartner Research. “Er bestaan geen waterdichte authenticatiemethoden,” zei Alan.
Dit is wat consumenten moeten weten over eenmalige wachtwoorden (OTP) en online beveiliging:
OTP-kaarten zijn kwetsbaar voor online fraude
Eenmalige wachtwoorden (OTP) die via sms of sms worden verzonden, zijn kwetsbaarder voor aanvallen van fraudeurs op verschillende manieren, zoals phishing-aanvallen, spoofing en frauduleuze beveiliging bij Javelin Strategy & Research, zegt Tracy C. Kitten, directeur fraude en beveiliging bij Javelin Strategy & Research simkaart en onderschep berichten, zelfs als u uw telefoon in uw bezit heeft.
Het probleem wordt nog verergerd door het feit dat wanneer een mobiel account of website wordt gekaapt, u dit misschien niet meteen beseft. “Je kunt bijvoorbeeld aan een bank vragen om een sms te sturen en deze vervolgens terug te sturen, zonder dat je doorhebt dat iemand anders het heeft ontvangen”, zegt Keaten. “Het kan wel 45 minuten duren voordat je beseft dat er iets mis is, en dan nog punt dat het te laat is.’
Gebruik de authenticator-app van Google en Microsoft
De beste optie, hoewel geen wondermiddel, is om een authenticatie-app, zoals Google Authenticator of Microsoft Authenticator, op een mobiel apparaat te downloaden, zeggen beveiligingsexperts. Authenticatie-apps zijn nog steeds kwetsbaar voor sommige soorten ‘enemy in the middle’-aanvallen, maar ze zijn nog steeds veiliger dan sms, zegt Allan.
Met een authenticator-app ontvangen gebruikers elke keer dat ze inloggen een unieke code, en de code verloopt doorgaans na 30 tot 60 seconden. Er wordt niets naar het telefoonnummer verzonden. De authenticatie-app staat op uw mobiele apparaat, dus als de telefoon met een wachtwoord is beveiligd en u gezichtsherkenning inschakelt, verkleint dit het risico dat iemand toegang heeft tot die codes aanzienlijk, zei Kitten.
Er zijn nog steeds potentiële kwetsbaarheden die afhankelijk zijn van de noodzaak om code in te voeren, zegt Cédric Thevenet, vice-president en hoofd verkoop en cyberoplossingen bij Capgemini Americas. Stel dat iemand bijvoorbeeld een e-mail ontvangt die afkomstig lijkt te zijn van een bedrijf of provider waarmee hij regelmatig te maken heeft, maar die in werkelijkheid een goed vermomde phishing-poging is. Dankzij kunstmatige intelligentie zijn dit soort phishing-e-mails moeilijker te detecteren, aldus Thevenet.
Als een onoplettende gebruiker op de link klikt, wordt hij mogelijk naar een website geleid die er legitiem uitziet, maar dat niet is. De persoon voert zijn gebruikersnaam en wachtwoord in op de website van de hacker, denkend dat dit de website van de serviceprovider is, en wanneer hem vervolgens om de authenticatiecode wordt gevraagd, typt hij deze ook in. Zoals Thevenet uitlegde, heeft de hacker nu toegang tot het account van de persoon.
Overweeg om mobiele apps te betalen voor betere bescherming
Er is een veiligere authenticatieoptie die werkt in combinatie met mobiele apps op de telefoon van de gebruiker. Wanneer gebruikers inloggen op de website van hun bank of ander type dienstverlener, ontvangen zij een melding in de bijbehorende app op hun telefoon met de vraag om met deze melding hun identiteit te verifiëren.
Deze verificatiemethode is onafhankelijk van het apparaat waarmee je inlogt en is beter dan sms of eenmalige wachtwoorden voor authenticatie, maar er zijn ook aanvallen die deze methode kunnen tegenwerken, zei Alan. Een hacker kan herhaaldelijk proberen in te loggen op iemands account met een gestolen wachtwoord en de gebruiker ontvangt meerdere berichten op zijn telefoon ter verificatie. Als de persoon niet goed oplet, of gewoon niet langer vervelend wil zijn, kan hij klikken om te verifiëren en zo de hacker toegang tot het account te geven.
Kies indien mogelijk een hardwarebeveiligingssleutel
Een betere optie is om een fysieke beveiligingssleutel zoals een Yubico te gebruiken. Eén sleutel kan worden gebruikt met meerdere applicaties en services. Vanuit veiligheidsoogpunt is het beter dan sms of een authenticator-app, zei Alan. Maar er is een investering. Een sleutel kan €20,- tot €60,- of meer kosten, en mensen moeten oppassen dat ze deze niet kwijtraken.
Ook dit is niet in alle situaties praktisch. De online retailer zal om kosten- en praktische redenen niet aan al zijn klanten een sleutel geven, aldus Thevenet.
Verwijder wachtwoorden uit de vergelijking met wachtwoordsleutels voor meerdere apparaten
Hoewel het gebruik van toegangssleutels voor meerdere apparaten, die de noodzaak van wachtwoorden vervangen, niet noodzakelijkerwijs een vervanging is voor een eenmalig wachtwoord, maakt het het voor een aanvaller wel moeilijker om in te breken in uw accounts. Wachtwoorden bestaan uit een ‘privésleutel’ die is opgeslagen op de computer of telefoon van de gebruiker en encryptie met een publieke sleutel, volgens de FIDO Alliance, een open consortium dat zich richt op het verminderen van de afhankelijkheid van wachtwoorden in de wereld.
Wachtwoordsleutels elimineren niet alleen een deel van het ongemak van wachtwoorden, maar beschermen gebruikers ook tegen phishing-aanvallen, omdat ze alleen werken op websites en in apps waarbij ze zijn geregistreerd. Er zijn enkele beveiligingsproblemen, maar het verwijdert op zijn minst wachtwoorden uit de vergelijking, waardoor het voor een aanvaller moeilijker wordt om überhaupt aan de slag te gaan, zei Allan.
Vanuit regelgevend oogpunt kwalificeren wachtwoordsleutels mogelijk niet als meervoudige authenticatie, maar ze zijn mogelijk veiliger dan het gebruik van een wachtwoord en sms, zei Allan.
Verwacht dat eenmalige sms-wachtwoorden (OTP) in gebruik zullen blijven, en dat is een risico
Er is een breed scala aan opties beschikbaar voor gebruikers om online logins te beheren met een grotere nadruk op beveiliging, inclusief wachtwoordbeheerders, maar ze brengen allemaal risico’s met zich mee en tot op zekere hoogte zijn consumenten beperkt tot de authenticatiemethoden die door verschillende providers worden aangeboden.
Protiviti-directeur Dusty Anderson, die leiding geeft aan de digitale identiteitspraktijk van het bedrijf, zegt dat een van haar klanten tienduizenden dollars per maand besteedt aan het verzenden van eenmalige wachtwoorden via sms. Ondanks de veiligheidsproblemen blijft de klant bij zijn standpunt omdat hij bang is problemen te veroorzaken, vooral bij klanten die niet bekend zijn met de technologie en mogelijk terughoudend zijn in het gebruik van een ander type authenticatietool.
Om andere redenen zei Thevenet dat tijdelijke wachtwoorden in de nabije toekomst waarschijnlijk in een of andere vorm beschikbaar zullen blijven. Thevenet voegde eraan toe dat de populairste opties goedkoop en gemakkelijk te gebruiken zijn, en ondanks enkele risico’s zijn deze methoden nog steeds beter dan alleen een wachtwoord. “Is het versturen van een tijdelijk wachtwoord via SMS de beste oplossing ooit? Nee. Is het beter dan alleen een wachtwoord Ja.”
“Hipster-Friendly Explorer. Award-Winning Coffee Fanatic. Analyst. Problem Solver. Troublemaker.”
More Stories
Apple kondigt uitbreiding van Vision Pro naar nog twee landen aan
Hoe u de Apple Gehoortest doet met AirPods Pro 2
Apple kondigt MacBook Pro-modellen aan met M4 Pro- en M4 Max-chips, Thunderbolt 5-ondersteuning en meer