Twee-factor-authenticatie (of 2FA) is een van die best practices die eindelijke ingeburgerd begint te raken. Het idee achter 2FA is dat, wanneer je op een site inlogt vanop een nieuw toestel, je niet alleen je wachtwoord nodig hebt, maar ook een code moet intikken die het bedrijf achter de site naar je telefoon stuurt.

Die extra stap moet ervoor zorgen dat hackers met een lijst gestolen 'credentials' uit een of ander massalek, niet automatisch in bijvoorbeeld je Gmail geraken. Maar de extra beveiligingslaag is misschien niet meer genoeg, zo schrijft Amnesty International in beveiligingsrapport.

Dat legt uit hoe hackers het proces van inbreken op Gmail en Yahoo accounts hebben geautomatiseerd, ook voor gebruikers die 2FA aangezet hebben. De phishing scam begint met een valse Gmail pagina die een wachtwoord vraagt. Eens dat is ingetikt, krijgt het slachtoffer een tweede pagina te zien, die meldt dat er een 2FA code per sms naar zijn of haar telefoon werd verstuurd. Bij de tests van Amnesty kreeg hun testtelefoon wel degelijk een sms-berichtje met een echte Google verificatiecode, meldt het rapport. Wanneer het slachtoffer ook die code invult, kan de hacker op de legitieme site inloggen om controle te krijgen over het hele account.

Klinkt logisch, en dat is het ook, maar de methode en de manier waarop dat nu automatisch kan gebeuren, onderstrepen nog eens het gevaar van phishing. Gebruikers die kwetsbaar zijn voor deze technieken, moeten misschien overschakelen op nog robuustere beveiligingsmethodes, aldus Amnesty. De voorbeelden die Amnesty geeft draaien allemaal om het verkrijgen van tokens via sms, maar eenzelfde methode zou ook gebruikt kunnen worden voor authenticatie via een app zoals Google Authenticator, meldt de organisatie.

In zijn rapport stelt de organisatie dat hackers de voorbije twee jaar op deze manier geprobeerd hebben in te breken op meer dan duizend Google en Yahoo accounts in het Midden-Oosten en Noord-Afrika.

Een mogelijke oplossing, zeker voor mensen die erg vertrouwelijke informatie beheren, is het gebruik van hardware tokens, fysieke toestelletjes die je identiteit moeten verifiëren. Google heeft er zelf zo eentje, maar derde partijen brengen ze ook op de markt.