Wat is authenticatie
Authenticatiemethoden en best practices
Sinds het begin van de beschaving is de mensheid op zoek geweest naar veilige maar handige manieren om identiteiten te verifiëren, zodat alleen bevoegden toegang hebben en bedreigers een stap voor blijven. Gezichtskenmerken, tokens, cryptografie, handtekeningen, vingerafdrukken en wachtwoorden waren slechts enkele van de authenticatiemethoden die voor het digitale tijdperk werden gebruikt. Vandaag de dag is authenticatie gebaseerd op een evolutie van deze technieken.
In plaats van te vertrouwen op het menselijk oog om gezichtskenmerken te herkennen, vertrouwen we bijvoorbeeld op biometrische tools om een persoon te verifiëren aan de hand van zijn iris, netvlies, vingerafdruk, stem of andere specifieke biologische kenmerken. Op dezelfde manier geven beveiligingssystemen, in plaats van fysieke tokens, digitale tokens uit aan gebruikers die met succes hun identiteit hebben bewezen.
Toch blijven bedreigers manieren vinden om authenticatie te omzeilen. In een vorig tijdperk konden criminelen zegels vervalsen om de beveiliging te omzeilen. Tegenwoordigstelen meer cybercriminelen auth tokens om MFA (multi-factor authenticatie) teomzeilen, soms met verwoestend effect. Zo hebben hackers sessietokens gekaapt om op spectaculaire wijze drie YouTube-kanalen van Linus Media Group over te nemen.
Cyberbeveiligingsteams bij technologiereuzen als Google, Microsoft en Apple zijn voortdurend op zoek naar verbetering van hun verificatiesystemen om gebruikers en organisaties te beschermen tegen steeds slimmere en frequentere cyberbeveiligingsaanvallen.
Veel gebruikers hebben echter liever meer gemak dan veiligheid, watde langzame MFA-acceptatie door Microsoft-gebruikers zou verklaren op , ondanks 25,6 miljard accountkapingspogingen met behulp van brute-forced gestolen wachtwoorden in 2021. Het kan ook verklaren waarom Microsoft Basic authenticatie heeft uitgeschakeld voor Exchange Online ten gunste van Moderne authenticatie, met opties zoals MFA, smartcards, certificaatgebaseerde authenticatie (CBA) en identiteitsproviders van derden Security Assertion Markup Language (SAML).
Lees onze uitgebreide gids voor meer informatie:
- Betekenis van authenticatie.
- Authenticatie met twee factoren vs authenticatie met meerdere factoren.
- Authenticatie vs. autorisatie.
- Authenticatiemethoden.
- Verificatie zonder wachtwoord.
Betekenis van authenticatie
Authenticatie is een cyberbeveiligingsmethode die helpt bij het verifiëren van de identiteit van een systeem of een gebruiker. De meest gebruikte authenticatiemethode is door middel van gebruikersnamen en wachtwoorden. Andere authenticatiemethoden, zoals biometrische verificatie, zijn geavanceerder en grondiger. Een voorbeeld van authenticatie is als u toegang probeert te krijgen tot uw e-mail, u zal uw gebruikersnaam en wachtwoord moeten invoeren om in uw mailbox te komen.
Waarom is authenticatie belangrijk?
Authenticatie is cruciaal voor het beschermen van onze veiligheid en privacy. We voeren veel verschillende soorten handelingen online uit, van werken en communiceren tot winkelen of het opslaan van privégegevens, meestal op afstand. Authenticatie helpt de integriteit van elke digitale ruimte, zoals banken, cloudcomputingplatforms, socialemediapagina's en andere, te behouden door het risico van ongeautoriseerde toegang te beperken. Dankzij authenticatie kunnen we vertrouwen op fysiek onzichtbare systemen en identiteiten.
Sommige authenticatietools kunnen ook een cyberaanval vertragen of stoppen. Een cybercrimineel met een gestolen gebruikersnaam en wachtwoord kan bijvoorbeeld een account binnendringen om gegevens te stelen, malware te droppen of een Man-in-the-Middle (MitM) aanval uit te voeren. Hun zijwaartse bewegingen kunnen echter worden gestopt in een systeem met diepere authenticatieprotocollen.
Authenticatie is ook essentieel omdat het de verantwoordingsplicht van gebruikers vergroot. Een geauthenticeerde gebruiker zal minder snel kwaadaardige activiteiten uitvoeren omdat hij weet dat hij wordt gevolgd. Authenticatie kan organisaties in sommige sectoren helpen om te voldoen aan beveiligings- en privacywetten door de gegevensbeveiliging te verbeteren.
Waar wordt authenticatie voor gebruikt?
Authenticatie kan voor verschillende doeleinden worden gebruikt:
- Apparaatbeveiliging: Alle soorten apparaten met besturingssystemen implementeren authenticatie voor beveiliging, inclusief desktops, laptops, smartphones, tablets en zelfs een breed scala aan Internet of Things (IoT) apparaten.
- Accountbeveiliging: Meerdere platforms maken gebruik van verificatie om accountbeveiliging te verbeteren. Accounts voor e-mail en sociale media maken bijvoorbeeld gebruik van authenticatie om te voorkomen dat onbevoegde gebruikers toegang krijgen tot accounts. Financiële platforms beschermen online bankieren, digitale betalingen en e-commerce tegen fraude met authenticatie.
- Cloud computing: Nu steeds meer organisaties overstappen op cloud computing-platforms zoals Microsoft Azure, wordt authenticatie gebruikt voor de beveiliging van bedrijfsmiddelen, gegevens en activiteiten. Authenticatie wordt ook gebruikt voor de beveiliging van organisaties met bedrijfsmiddelen op locatie, zoals netwerken en systemen die op afstand werken.
- Toegangscontrole: Authenticatie wordt niet alleen gebruikt voor externe beveiliging, maar ook voor interne beveiliging. Organisaties kunnen authenticatie gebruiken om ervoor te zorgen dat medewerkers toegang hebben tot netwerken, applicaties en gegevens op een 'need-to-know' basis.
Authenticatie vs autorisatie
Hoewel authenticatie en autorisatie op elkaar lijken en de twee termen soms ten onrechte door elkaar worden gebruikt, zijn het twee verschillende concepten in cyberbeveiliging. De lange uitleg is dat autorisatie het proces is waarbij de identiteit wordt geverifieerd aan de hand van inloggegevens, gezichtskenmerken, stem of een authenticatietoken. Autorisatie is wat er gebeurt na authenticatie. Zodra het systeem de identiteit van een systeem of persoon heeft geverifieerd, geeft het de entiteit toegang tot bronnen of laat het acties uitvoeren op basis van hun privileges.
De korte uitleg over authenticatie versus autorisatie is dat de eerste bepaalt of een entiteit toegang krijgt en de tweede bepaalt met welke bronnen ze kunnen werken na autorisatie.
Vaak gebruikte verificatiefactoren
Iedereen die wel eens een modern besturingssysteem heeft gebruikt of op een cloud computing platform heeft gewerkt, weet dat er veel verschillende soorten authenticatiemethoden en hulpmiddelen zijn, zoals PIN's (persoonlijke identificatienummers), vingerafdrukken, tokens en IP-adressen. Deze methoden of hulpmiddelen vallen in verschillende categorieën die authenticatiefactoren worden genoemd.
Kennisfactoren
Een kennisfactor is alles wat een gebruiker weet, zoals een wachtwoord of een antwoord op een beveiligingsvraag. Kennisfactoren zijn meestal snel, maar kwetsbaar voor hacken. Wachtwoorden kunnen bijvoorbeeld gestolen worden. Zwakke wachtwoorden zijn gevoelig voor brute-force aanvallen zoals woordenboekaanvallen.
We raden ten zeerste aan dat u leert hoe je een sterk wachtwoord maakt om uw accounts af te schermen. u kan ook overwegen om een top wachtwoordmanager te gebruiken om uw lijst met complexe aanmeldingsgegevens te beheren.
Factoren voor bezit
Een bezitsfactor kan veiliger zijn dan een kennisfactor omdat het vereist dat een gebruiker in het bezit is van een bepaald voorwerp, zoals een token of een smartphone, om zijn identiteit te bewijzen. Een systeem kan bijvoorbeeld een eenmalig wachtwoord naar het smart device van een gebruiker sturen wanneer deze toegang probeert te krijgen. Bezitsfactoren zijn echter ook niet perfect, omdat bezittingen kunnen worden gekaapt of gestolen.
Erfelijkheidsfactoren
Een van de veiligste authenticatiefactoren is de overervingsfactor omdat deze vertrouwt op de unieke fysieke kenmerken van een gebruiker, zoals een vingerafdruk of iris.
Het grootste nadeel van het vertrouwen op erfelijke factoren is dat de hardware van het systeem in staat moet zijn om biometrische gegevens te absorberen en te verwerken, hoewel de meeste moderne apparaten over dergelijke functies beschikken.
Een overervingsfactor kan ook te effectief blijken in zeldzame omstandigheden. Er zijn bijvoorbeeld meerdere gevallen geweest waarbij de nabestaanden geen toegang konden krijgen tot de cryptocurrency van hun overleden kind omdat hun apparaat werd beschermd door een overervingsfactor.
Locatiefactoren
Een organisatie, zoals een streamingdienst, kan een locatiefactor zoals geo-blocking gebruiken om de toegang te beperken tot gebruikers van specifieke locaties. Een streamingdienst zoals Netflix USA kan bijvoorbeeld gebruikers uit Canada blokkeren om bepaalde inhoud te bekijken. Locatie factoren hebben echter meestal workarounds. Bijvoorbeeld, iemand in Canada zou theoretisch gebruik kunnen maken van een private VPN om hun locatie te maskeren en toegang te krijgen tot Netflix USA.
Gedragsfactoren
Een gedragsgebaseerde authenticatiefactor vereist dat een gebruiker bepaalde acties uitvoert om zijn identiteit te bewijzen. Ze kunnen bijvoorbeeld worden gevraagd om bepaalde patronen te tekenen of een reudementaire puzzel op te lossen om te bewijzen dat ze menselijk zijn en geen bot. Google's reCAPTCHA gebruikt een engine voor risicoanalyse en volgt muisbewegingen om te controleren op menselijk gedrag.
Soorten verificatie
Verificatie met wachtwoord
De meest voorkomende vorm van authenticatie, authenticatie op basis van een wachtwoord, is het proces waarbij de identiteit van een gebruiker wordt geverifieerd door hem een wachtwoord te laten geven dat volledig overeenkomt met het opgeslagen wachtwoord. Het systeem weigert een wachtwoord dat ook maar één teken afwijkt van het opgeslagen wachtwoord.
Zoals gezegd kunnen hackers met de nieuwste tools heel snel zwakke wachtwoorden raden. Daarom moeten gebruikers wachtwoorden instellen die minstens 10 tekens lang en complex zijn en wachtwoorden regelmatig wijzigen.
Multi-factor authenticatie (MFA)
MFA is uit noodzaak ontstaan. Zelfs het meest geavanceerde wachtwoord kan gestolen worden. Met multi-factor authenticatie kan het zijn dat onbevoegde gebruikers hun identiteit op een andere manier moeten verifiëren als ze het beveiligingssysteem van het systeem activeren. Als een systeem bijvoorbeeld een nieuw apparaat of IP-adres identificeert tijdens een inlogpoging, kan het om een pincode of token vragen, zelfs als de gebruiker de juiste inloggegevens presenteert.
Authenticatie met twee factoren (2FA)
Veel mensen vragen zich af wat het verschil is tussen 2FA en MFA. Het antwoord is dat 2FA in wezen een subset is van MFA. Zoals gezegd, MFA vraagt om twee of meer authenticatiefactoren. 2FA vraagt er maar om twee, meestal een wachtwoord en een wachtwoordcode die naar een e-mailaccount of mobiel apparaat wordt gestuurd. u kan de basis van twee-factor authenticatie lezen voor meer informatie.
Terwijl gebruikers van sociale mediapagina's 2FA gebruiken om hun accounts te beschermen, zijn sommige platformen helaas bezig accountbeveiliging te monetariseren. u heeft bijvoorbeeld misschien gelezen over Twitter en twee-factor authenticatie, waar het platform de beveiligingsinstellingen drastisch opschudt. Sinds 19 maart kunnen gebruikers geen SMS-gebaseerde 2FA meer gebruiken zonder te betalen voor een abonnement.
Gebruikers hebben echter (voorlopig) andere opties. Ze kunnen bijvoorbeeld twee-factor authenticatie instellen op Twitter met behulp van een hardwaresleutel voor geavanceerde beveiliging. Een hardwaresleutel is een beter beveiligingsmiddel dan SMS, dat vatbaar is voor een 'swim-swapping'-aanval.
Single-factor authenticatie (SFA)
Zoals de naam al doet vermoeden, vereist SFA dat gebruikers slechts één authenticatiemiddel aanbieden. Meestal is een wachtwoord de meest gebruikte vorm van SFA. Hoewel SFA handiger kan zijn dan MFA, kan het aanzienlijk minder veilig zijn, vooral als het authenticatietype zwak is. SFA is ook kwetsbaar voor social engineering aanvallen zoals phishing.
Certificaatgebaseerde verificatie
Bij dit type authenticatie gebruikt een systeem een digitaal certificaat. Certificaat-gebaseerde authenticatie is veiliger dan wachtwoorden omdat de certificaten geavanceerd zijn, sleutels gebruiken en herroepbaar zijn door de uitgevende autoriteit. Organisaties met een hoog profiel, zoals overheden, gebruiken deze cryptografische techniek voor een betere beveiliging.
Biometrische verificatie
Zoals gezegd vertrouwt biometrische authenticatie op unieke fysieke kenmerken zoals vingerafdrukken, stemmen en irissen om systemen te beschermen. Biometrische authenticatie is de veiligste en handigste vorm van authenticatie.
Verificatie op basis van tokens
Webapplicaties, API's en andere systemen gebruiken vaak tokens om gebruikers te authenticeren. In een notendop is een token een unieke identificatiecode die wordt uitgegeven aan een geautoriseerde gebruiker. Terwijl het gebruik van tokens toeneemt door de opkomst van hybride werkomgevingen, neemt diefstal van tokens ook toe.
Basic authenticatie
Een basis authenticatiesysteem vraagt alleen om een gebruikersnaam en wachtwoord om een gebruiker te authenticeren. Systemen die gebruik maken van basismethoden zijn gevoeliger voor hackers. Tegenwoordig gebruiken alleen interne testbronnen of openbare systemen zoals openbare WiFi basisauthenticatie. Basic authenticatie is de belangrijkste reden waarom gebruikers voorzichtiger moeten zijn bij het gebruik van openbare WiFi.
Verificatie zonder wachtwoord
Omdat gebruikers en organisaties meer gemak met beveiliging willen, worden wachtwoordloze verificatieopties zoals biometrie, beveiligingssleutels, tokens en eenmalige codes steeds populairder in bedrijfsomgevingen en platforms die door consumenten worden gebruikt.
Naast extra gemak kan wachtwoordloze authenticatie meer veiligheid bieden, omdat veel gebruikers zwakke wachtwoorden blijven gebruiken of het slachtoffer worden van phishingaanvallen die inloggegevens aanvallen.
Op kennis gebaseerde authenticatie (KBA)
KBA is een vorm van authenticatie die de kennis van een persoon test over de informatie die hij heeft opgeslagen om zijn identiteit te verifiëren. Voorbeelden van KBA zijn het beantwoorden van vragen over de straat waar ze zijn opgegroeid, hun favoriete kleur of de meisjesnaam van hun moeder.
Er zijn verschillende redenen waarom KBA een zwakke authenticatiemethode is. Nu er meer gebruikersgegevens openbaar beschikbaar zijn op prikborden en sociale mediaplatforms zoals LinkedIn en Facebook, is het voor een bedreigingsactor eenvoudiger om de benodigde gegevens te verzamelen om KBA te omzeilen. Daarnaast zijn gebruikers minder geneigd om complexe antwoorden op geheime vragen in te stellen dan complexe wachtwoorden.
Wederzijdse authenticatie
Wederzijdse authenticatie, ook bekend als authenticatie in twee richtingen, is een type authenticatie waarbij beide partijen in een verbinding elkaar verifiëren, meestal met digitale certificaten. Hoewel wederzijdse authenticatie het meest wordt gebruikt door communicatieprotocollen zoals Transport Layer Security (TLS) en Secure Sockets Layer (SSL), gebruiken veel apparaten van het Internet of Things (IoT) de techniek ook in apparaat-naar-apparaat verbindingen.
SMS-verificatie
SMS authenticatie gebruikt tekstberichten als onderdeel van MFA. SMS authenticatie werkt het beste wanneer de authenticatiemethoden onvervalst zijn. Een draadloze provider had bijvoorbeeld het lumineuze idee om SMS authenticatie te mengenmet een advertentie, waardoor bedreigingsactoren aantrekkelijkere smishing aanvallen zouden kunnen ontwerpen.
Netwerk- of serververificatie
Netwerkverificatie verwijst naar de identificatie van gebruikers die toegang proberen te krijgen tot een netwerk of server. Dit type authenticatie wordt gebruikt in communicatieprotocollen, VPN's, firewalls en systemen die de toegang tot applicaties controleren.
Verificatie met geheime sleutel
In een systeem dat authenticatie met een geheime sleutel gebruikt, delen de gebruiker en het systeem een cryptografische sessiesleutel die alleen bekend is bij de twee partijen. Deze sleutels zijn symmetrisch. Met andere woorden, ze werken voor encryptie en decryptie. Communicatieprotocollen zoals Secure Sockets Layer (SSL) gebruiken geheime sleutelauthenticatie om de veiligheid van gegevensoverdracht te garanderen, zoals tussen een webbrowser en een website.
Fysieke beveiligingssleutel
Een fysieke beveiligingssleutel is een stukje hardware dat een gebruiker helpt om zijn identiteit te bewijzen en is een voorbeeld van een bezitsfactor. Een fysieke beveiligingssleutel genereert meestal een unieke code die wordt gedeeld met een systeem voor authenticatie. Fysieke beveiligingssleutels werden meer dan tien jaar geleden alleen gebruikt door organisaties met een hoog profiel, zoals banken en inlichtingendiensten.
Veel verschillende soorten platforms, zoals gaming, e-commerce en sociale media, stellen gebruikers tegenwoordig echter in staat om hun accounts te beschermen met fysieke beveiligingssleutels. Gebruikers kunnen bijvoorbeeld de hardwaresleutelauthenticatie van Facebook inschakelen voor iOS en Android voor een extra laag van bezitsfactorbeveiliging rond hun accounts.
Best practices voor authenticatie
- Kijk uit voor malware die is ontworpen om referenties of gevoelige gegevens te stelen, zoals sommige soorten Trojaanse paarden, spyware en keyloggers. Leer ook hoe je een keylogger verwijdert omdat deze toetsaanslagen, schermafbeeldingen en andere informatie kan verzamelen om een authenticatiesysteem te misleiden.
- Stel wachtwoorden in die minstens tien tekens lang zijn en een mix van cijfers, symbolen en alfabetten bevatten.
- Vermijd het gebruik van bekende patronen in wachtwoorden, zoals een geboortedatum of de naam van een favoriete beroemdheid.
- Bewaar inloggegevens van uw nooit in het zicht, zoals een stuk papier op uw . Versleutel wachtwoorden in apparaten.
- Help uw wachtwoord een handje door MFA-methoden te gebruiken, zoals biometrische identificatie of een beveiligingssleutel.
- Wees op je hoede voor social engineering-aanvallen die zijn ontworpen om uw referenties te stelen.
- Vermijd het hergebruiken van uw wachtwoord, anders kan een gestolen wachtwoord resulteren in meerdere accountschendingen.
- Wijzig uw wachtwoord regelmatig. Probeer voor het gemak een gerenommeerde wachtwoordmanager te gebruiken.
- Moedig de netwerkbeheerder van uw organisatie aan om sessielengtes te beperken om sessiekaping te voorkomen.
- Beheerders moeten authenticatielogs en netwerkgegevens in de gaten houden om snel te kunnen reageren op verdachte activiteiten, zoals meerdere toegangspogingen vanaf verdachte IP-adressen.
- Organisaties zouden moeten overwegen om een zero-trust architectuur te gebruiken voor een betere beveiliging.