Google: ‘Tweestapsverificatie blokkeert alle geautomatiseerde aanvallen’
Google heeft data vrijgegeven die moet aantonen dat tweestapsverificatie of ‘two-factor authentication’ (2FA) ook echt werkt.
Tweestapsverificatie is het systeem waarbij je een account niet alleen met een wachtwoord beveiligt, maar met een of meer extra stappen, zij het een sms’je, een vingerafdruk, een fysieke kaart of usb-stick, of een programma als Authenticator dat tijdelijke codes genereert. Het systeem is er al van bij het begin van online banking, maar wordt steeds vaker ook aangeraden voor andere belangrijke accounts, zoals je mail. En da’s een hoop extra last, dus is de vraag of het ook werkt.
Google zegt alvast van wel. Op zijn securityblog geeft het bedrijf data vrij die moeten aangeven hoeveel veiliger 2FA is. Google, dat ook zelf fysieke beveiligingssleutels verkoopt, heeft samen met de New York University en de University of California, SanDiego, een jaar lang onderzoek gevoerd naar de effectiviteit van 2FA.
Daaruit moet blijken dat het instellen van 2FA via sms, waarbij je naast je wachtwoord ook een code moet intikken die je op je telefoon krijgt, 100 procent van de geautomatiseerde aanvallen kan tegenhouden, 96 procent van de massa-phishingaanvallen en 76 procent van doelgerichte aanvallen, het soort waarbij er een menselijke hacker probeert binnen te geraken.
Zogenaamde ‘on-device prompts’ zijn nog iets veiliger. Daarbij krijg je, als je bijvoorbeeld op je laptop inlogt, een berichtje op je smartphone met de vraag of je probeert in te loggen. Deze weet 100 procent van de geautomatiseerde aanvallen, 99 procent van de phishingaanvallen en 90 procent van de doelgerichte aanvallen af te weren, waarschijnlijk omdat er nergens een code te onderscheppen valt via phishingsites. Tot slot geeft het onderzoek aan dat fysieke beveiligingssleutels 100 procent van alle aanvallen kan tegenhouden.
Fout opgemerkt of meer nieuws? Meld het hier