Vorige week op 30 juni was ik te gast op #VLCM23 de 23ste meetup van VLCM (Vlaamse Community Manager community) en mocht ik daar ook een korte presentatie geven over een belangrijk topic: “2FA en alle inlogproblemen met Facebook/Instagram”.
Hier kan je de recording van mijn presentatie zien:
Ik kreeg nadien veel de vraag of ik mijn slides wilde delen, maar ik verwerk ze liever in 2 blogposten, zodat ik meer links, achtergronden en extra tips kan delen.
Hierbij dus blogpost 1 over 2fa authenticatie (tweestapsverificatie) van accounts en hoe het daarmee ook kan mislopen.
Waarom 2FA gebruiken?
Het concept van aanloggen met een username en paswoord was iets dat we veilig vonden, maar een eenvoudige zoekactie op haveibeenpwned.com, laat al snel zien hoeveel keer je paswoord al gestolen is overal (de Linkedin database van 2012 is zo berucht als bron van vele social media hacks). Zeker iedereen die met social media of crypto bezig is, zal het concept 2FA zeker goed moeten kennen (zou moeten).
We are aware of a breach of the Army’s Twitter and YouTube accounts and an investigation is underway.
The Army takes information security extremely seriously and is resolving the issue. Until their investigation is complete it would be inappropriate to comment further.
— Ministry of Defence Press Office (@DefenceHQPress) July 3, 2022
De afgelopen jaren is iedereen dan ook geïndoctrineerd om OVERAL 2FA te gaan instellen (meertrapsbeveiliging) als extra beveiliging. Ook al stelen/gokken ze nu je wachtwoord ergens, ze hebben nog steeds een extra code nodig.
Dit kan bij de meeste platformen op verschillende manieren:
- Het gebruiken van een authenticator app op je smartphone die steeds tijdelijke codes gaat genereren
- Het gebruiken van je gsm om sms’jes te ontvangen met een tijdelijke code
- Het gebruiken van hardware keys, die je in je computer prikt als 2FA, zoals de gekende Yubikeys
Kies ik dan best voor een Authenticator app?
Het gebruiken van de Google Authenticator app is een app die veel gebruikt wordt voor het genereren van tijdelijke codes.
MAAR, dan komen volgende mogelijke problemen naar boven:
- Wat als je gsm wordt gestolen?
- Wat als je gsm in het zwembad valt en toch niet zo waterdicht blijkt te zijn?
- Wat als je gsm valt en het touchscreen niet meer kan worden bediend? (tip: check deze blogpost uit 2017 als mogelijke reddende held)
- Wat als je een nieuwe gsm hebt en vergeet je 2FA app en codes over te zetten naar je nieuwe gsm?
In dat geval wil je liefst een authenticator app, die toch ergens een backup heeft staan. De veel gebruikte Google Authenticator app heeft wel een Transfer feature, maar in de voorgaande gevallen heb je hier niets meer aan.
Mijn tip? Ga vandaag eens wat tijd maken om de app Authy (of Lastpass Authenticator) in gebruik te nemen. Deze app gaat een encrypted backup in de cloud maken. Maar daarnaast is er ook een Multi Multi-authenticatie feature om de 2FA codes over verschillende devices te gaan gebruiken (smartphone en laptop bijvoorbeeld).
Kies ik dan beter voor 2FA via sms?
Ik hoor dan ook geregeld connecties tegen me vertellen, dat ze liefst van al gewoon 2FA via SMS gebruiken en het gedoe met apps zo willen vermijden.
Maar is de keuze van 2FA via sms dan een betere optie? Vanuit de security wereld wordt dit afgeraden, daar SMS een oud en niet-beveiligd medium is (mijn oude gsm’s uit 1994 hadden reeds sms).
Hier is er wat nuance nodig. Wie namelijk geregeld cybersecurity nieuws volgt, zal het fenomeen sim-swapping wel kennen enja dit is een potentieel gevaar voor bepaalde personen.
Bij sim-swapping gaan aanvallers je gsm-nummer laten doen overzetten naar een nieuwe sim-kaart om op deze manier je accounts zo te kunnen hacken. Dit is vooral een gekend gegeven in de VS (zeker in de wereld van crypto currencies en web3 communities), maar ook in België is er al een mobiele operator veroordeeld voor het te laks doorgeven van een mobiel nummer (boete van 20k EUR). In Spanje zijn er ook reeds meerdere operatoren hiervoor veroordeeld (voor in totaal meer dan 5,7 miljoen EUR 😱).
Daarnaast zijn er echter nog momenten, wanneer 2FA via sms niet altijd een goed idee is. Een potentieel voorbeeld van zo een situatie: Je gaat van werkgever veranderen en je gsmnummer dient dan ook overgezet worden. Hierbij kan het altijd administratief mislopen (enja dit valt meer voor dan je denkt), waardoor je voor 24u of 48u plots in een tussenperiode terechtkomt waarbij je gsmnummer niet meer werkt (en je een nieuwe smartphone/laptop hebt, dus 2FA nodig hebt). Op die moment heb je dus geen toegang tot je 2FA sms codes. 🙈
Mijn tip: Overdrachten van gsm abonnementen doe je best fysiek in een winkel van een mobiele operator of via de Prepaid simkaart tussenstap. Zorg ook dat je voorbereid bent op 1-2 dagen downtime, dus dat je op een andere manier in je accounts kan.
Of een ander probleem dat ik ook al ben tegengekomen bij klanten: een extra Google account aangemaakt in een bedrijf voor YouTube of andere Google services en het gsmnummer is spoorloos, dat hierop stond ingesteld als 2FA. 🤷♂️
Getver, had op een Gmail account (met eigen mailadres) 2fa ingesteld op een telefoonnummer dat ik niet meer heb en nu kan ik hem niet meer gebruiken 😭 iemand nog een goed idee?
— Annelies Verhelst🐝 (@anneliesje) June 20, 2022
Hoe kan ik me dan best nog extra beschermen?
Is je bedrijf afhankelijk van social media of andere online accounts (ik zeg maar iets: je bent social media manager), dan kan ik alleen maar aanraden om ook een stukje offline security toe te voegen.
Bij de meeste platformen kan je namelijk ook zogenaamde security codes afprinten. Je krijgt dan een lijstje met 1 tot 10 éénmalig te gebruiken codes om als 2FA te kunnen inzetten (indien je dus geconfronteerd wordt met 1 van de situaties hierboven).
Ga deze dus afprinten, steek ze NIET in je nachtkastje (het betrappen van een inbraak heeft ons geleerd dat ze daar als eerste starten bij het doorzoeken van je huis, want toen heb ik ze gelukkig reeds betrapt), maar bewaar ze op een onschuldige plek (in de fotoalbum van je eerste communie ofzo 😇).
Hoe pak ik dit best als bedrijf aan?
Bij bedrijven (bijvoorbeeld een klein agency of evengoed een influencer/BV waarbij verschillende personen de social media accounts gaan beheren) zie ik alle goede tips soms verdwijnen in functie van gemakkelijkheid.
Zo wil je bijvoorbeeld als Sporza met verschillende personen op het WK veldrijden via Instagram verslag doen van dit event en zet je de 2FA af (mijn gok wat er toen is gebeurd).
Ga hier over nadenken hoe dit best voor je bedrijf kan werken. Wat voorbeelden:
- Het delen van een Authy account bijvoorbeeld.
- In de paswoordenmanager 1Password kan je ook 2FA codes toevoegen, maar zelf ben ik niet de grootste fan om je wachtwoorden en 2FA codes op 1 plaats te gaan bijhouden. Wat is het punt dan van 2FA? 🤷♂️
- SMS 2FA instellen via een gsmnummer van een sms service, waarbij de 2FA codes in een Slack channel voor je team terechtkomen (wel weer een extra gevaar voor onderschepping van die codes 🙈).
- Er komen meer en meer dedicated services voor 2FA in teams, zoals daito.io. Hierbij heb je ook de mogelijkheid om bepaalde accounts met bepaalde werknemers te gaan delen. Bij een groot agency waar ik voorheen werkte, is er een specifieke zelfgebouwde applicatie die op eenzelfde manier werkt met security logging, overkoepelende 2FA,… 👏
Ik ben wel grote fan van de 2FA integratie in 1Password. Autofillt m’n codes sneller dan het formulier kan laden, is multi-device, en geeft ook mooi overzicht van alle sites die 2FA ondersteunen en waar ‘k het nog niet gebruik.
Ja, ze staan naast je wachtwoorden, maar da’s ook waar als je 2 aparte apps gebruikt.
Benieuwd naar de passwordless future ook.
Klopt. Naar gebruiksvriendelijkheid top. Al hoorde ik dan een student die zijn 1password masterpaswoord ook deelde met zijn mailaccount.