Wat is authenticatie
Authenticatiemethoden en best practices
Sinds het begin der beschaving zoekt de mensheid naar veilige, maar handige manieren om identiteiten te authenticeren om toegang te verlenen aan alleen degenen die geautoriseerd zijn en om dreigingsactoren een stap voor te blijven. Gezichtskenmerken, tokens, cryptografie, handtekeningen, vingerafdrukken en wachtwoorden waren slechts enkele van de authenticatiemethoden die voor het digitale tijdperk werden gebruikt. Een evolutie van deze technieken drijft tegenwoordig de authenticatie.
In plaats van te vertrouwen op het menselijke oog voor het herkennen van gezichtskenmerken, vertrouwen we bijvoorbeeld opbiometrische hulpmiddelen om een persoon te authenticeren via hun iris, netvlies, vingerafdruk, stem of andere onderscheidende biologische kenmerken. Evenzo geven beveiligingssystemen digitale tokens aan gebruikers die hun identiteit succesvol hebben aangetoond, in plaats van fysieke tokens.
Toch blijven bedreigers manieren vinden om authenticatie te omzeilen. In een vorig tijdperk konden criminelen zegels vervalsen om de beveiliging te omzeilen. Tegenwoordig stelen steeds meer cybercriminelen auth tokens om MFA (multi-factor authenticatie) te omzeilen, soms met verwoestend effect. Zo hebben hackers sessietokens gekaapt om op spectaculaire wijze drie YouTube-kanalen van Linus Media Group over te nemen.
Cybersecurityteams bij technologiegiganten zoals Google, Microsoft en Apple zijn voortdurend op zoek naar manieren om hun authenticatiesystemen te verbeteren om zowel gebruikers als organisaties te beschermen tegen steeds slimmere en frequentere cyberaanvallen.
Veel gebruikers hebben echter liever meer gemak dan veiligheid, wat de trage MFA-adoptie van Microsoft-gebruikers zou verklaren, ondanks 25,6 miljard accountkapingspogingen met behulp van brute-forced gestolen wachtwoorden in 2021. Het kan ook verklaren waarom Microsoft de Basic voor Exchange Online heeft uitgeschakeld ten gunste van moderne verificatie, met opties zoals MFA, smartcards, certificaatgebaseerde verificatie (CBA) en identiteitsproviders van derden zoals SAML (Security Assertion Markup Language).
Lees onze uitgebreide gids voor meer informatie over:
- Betekenis van authenticatie.
- Twee-factor authenticatie versus multi-factor authenticatie.
- Authenticatie versus autorisatie.
- Methoden van authenticatie.
- Wachtwoordloze authenticatie.
Betekenis van authenticatie
Authenticatie is een cybersecurity-methode die helpt bij het verifiëren van de identiteit van een systeem of een gebruiker. De meest gangbare methode van authenticatie is via gebruikersnamen en wachtwoorden. Andere authenticatiemethoden, zoals biometrische verificatie, zijn geavanceerder en grondiger. Een voorbeeld van authenticatie zou zijn dat je, als je toegang wilt krijgen tot je e-mail, je gebruikersnaam en wachtwoord moet invoeren om toegang te krijgen tot je mailbox.
Waarom is authenticatie belangrijk?
Authenticatie is cruciaal voor de bescherming van onze veiligheid en privacy. We voeren veel verschillende soorten acties online uit, van werken en communiceren tot winkelen of het opslaan van privégegevens, meestal op afstand. Authenticatie helpt de integriteit van elke digitale ruimte te behouden, zoals banken, cloud computing-platforms, sociale mediapagina's en anderen, door het risico van ongeautoriseerde toegang te beperken. Dankzij authenticatie kunnen we vertrouwen hebben in fysiek onzichtbare systemen en identiteiten.
Sommige authenticatietools kunnen ook een cyberaanval vertragen of stoppen. Bijvoorbeeld, een cybercrimineel met een gestolen gebruikersnaam en wachtwoord kan een account binnendringen om gegevens te stelen, malware te plaatsen of eenMan-in-the-Middle (MitM) aanval te initiëren. Hun laterale bewegingen kunnen echter worden stopgezet in een systeem met diepere authenticatieprotocollen.
Authenticatie is ook essentieel omdat het de verantwoordelijkheid van gebruikers verhoogt. Een geauthenticeerde gebruiker zal minder snel geneigd zijn zich in te laten met kwaadwillige activiteiten, omdat ze weten dat ze worden gevolgd. Authenticatie kan organisaties uit sommige industrieën helpen te voldoen aan wetten op het gebied van beveiliging en privacy door de gegevensbeveiliging te verbeteren.
Waar wordt authenticatie voor gebruikt?
Authenticatie kan voor verschillende doeleinden worden gebruikt:
- Apparaatbeveiliging: Alle typen apparaten met besturingssystemen implementeren authenticatie voor beveiliging, waaronder desktops, laptops, smartphones, tablets en zelfs een breed scala aan Internet of Things (IoT) apparaten.
- Accountbeveiliging: Meerdere platforms maken gebruik van authenticatie om de accountbeveiliging te verbeteren. Bijvoorbeeld, e-mail- en sociale media-accounts gebruiken authenticatie om te voorkomen dat ongeautoriseerde gebruikers toegang krijgen tot accounts. Financiële platforms beschermen online bankieren, digitale betalingen en e-commerce tegen fraude met authenticatie.
- Cloud computing: Aangezien meer organisaties overstappen naar cloud computing-platforms zoals Microsoft Azure, wordt authenticatie gebruikt voor de beveiliging van activa, gegevens en operaties. Authenticatie wordt ook gebruikt voor de beveiliging van organisaties met on-premises activa, zoals netwerken en systemen die telewerken adopteren.
- Toegangscontrole: Authenticatie wordt niet alleen gebruikt voor externe beveiliging, maar ook voor interne veiligheid. Organisaties kunnen authenticatie gebruiken om ervoor te zorgen dat personeel toegang heeft tot netwerken, applicaties en gegevens op een need-to-know-basis.
Authenticatie versus autorisatie
Hoewel authenticatie en autorisatie op elkaar lijken en de twee termen soms ten onrechte door elkaar worden gebruikt, zijn ze twee verschillende concepten in de cyberbeveiliging. De lange uitleg is dat autorisatie het proces is van het verifiëren van identiteit door inloggegevens, gezichtskenmerken, stem of een authenticatietoken. Autorisatie is wat er gebeurt na authenticatie. Zodra het systeem de identiteit van een systeem of persoon heeft geverifieerd, staat het de entiteit toe om bronnen te benaderen of handelingen te verrichten op basis van hun privileges.
De korte uitleg van authenticatie versus autorisatie is dat de eerste bepaalt of een entiteit toegang mag hebben, en de laatste bepaalt met welke middelen ze na autorisatie kunnen omgaan.
Veelgebruikte authenticatiefactoren
Iedereen die een modern besturingssysteem heeft gebruikt of op een cloud computing-platform heeft gewerkt, weet dat er veel verschillende soorten authenticatiemethoden en hulpmiddelen zijn, zoals PIN's (Personal Identification Numbers), vingerafdrukken, tokens en IP-adressen. Deze methoden of hulpmiddelen vallen in verschillende categorieën die authenticatiefactoren worden genoemd.
Kennisfactoren
Een kennisfactor wordt beschouwd als alles wat een gebruiker weet, zoals een wachtwoord of een antwoord op een beveiligingsvraag. Kennisfactoren zijn meestal snel, maar kwetsbaar voor hacking. Bijvoorbeeld, wachtwoorden kunnen gestolen worden. Zwakke wachtwoorden zijn kwetsbaar voor brute-force aanvallen zoalsdictionary attacks.
We bevelen sterk aan dat je leerthoe je een sterk wachtwoord kunt maken om je accounts te beschermen. Je kunt ook overwegen een topwachtwoordbeheerder te gebruiken om je lijst met complexe inloggegevens te beheren.
Bezitfactoren
Een bezitfactor kan veiliger zijn dan een kennisfactor, omdat het vereist dat een gebruiker in het bezit is van een bepaald item, zoals een token of een smartphone, om hun identiteit te bewijzen. Bijvoorbeeld, een systeem kan een eenmalig wachtwoord naar het slimme apparaat van een gebruiker sturen wanneer ze proberen toegang te krijgen. Echter, bezitfactoren zijn ook niet perfect, aangezien bezittingen kunnen worden gekaapt of gestolen.
Erfenisfactoren
Een van de meest veilige authenticatiefactoren is de erfenisfactor, omdat deze vertrouwt op de unieke fysieke kenmerken van een gebruiker, zoals een vingerafdruk of iris.
Het grootste nadeel van het vertrouwen op erfenisfactoren is dat de hardware van het systeem in staat moet zijn om biometrische data te absorberen en te verwerken, hoewel de meeste moderne apparaten dergelijke eigenschappen hebben.
Een erfenisfactor kan ook soms te effectief blijken te zijn. Er zijn bijvoorbeeld meerdere gevallen geweest waarin naasten niet in staat waren de cryptocurrency van hun overleden kind te benaderen omdat hun apparaat beschermd was door een erfenisfactor.
Locatiefactoren
Een organisatie, zoals een streamingdienst, kan een locatiefactor zoals geo-blokkering gebruiken om de toegang te beperken tot gebruikers uit specifieke locaties. Bijvoorbeeld, een streamingdienst zoals Netflix USA kan gebruikers uit Canada blokkeren om bepaalde inhoud te bekijken. Locatiefactoren hebben echter meestal omwegen. Iemand in Canada zou bijvoorbeeld theoretisch eenprivé VPN kunnen gebruiken om hun locatie te maskeren en toegang te krijgen tot Netflix USA.
Gedragsfactoren
Een op gedrag gebaseerde authenticatiefactor vereist dat een gebruiker bepaalde acties uitvoert om hun identiteit te bewijzen. Bijvoorbeeld, zij kunnen worden gevraagd om bepaalde patronen te tekenen of een eenvoudige puzzel op te lossen om te bewijzen dat zij mens zijn en geen bot. Google's reCAPTCHA gebruikt een risicoanalyse-engine en volgt muisbewegingen om op zoek te gaan naar menselijk gedrag.
Soorten authenticatie
Wachtwoordgebaseerde authenticatie
De meest voorkomende vorm van authenticatie, wachtwoordgebaseerde authenticatie, is het proces van het verifiëren van de identiteit van een gebruiker door hen een wachtwoord te laten geven dat exact overeenkomt met het opgeslagen wachtwoord. Het systeem zal een wachtwoord dat niet exact overeenkomt zelfs met één teken afwijzen.
Zoals vermeld, kunnen hackers zwakke wachtwoorden zeer snel raden door gebruik te maken van de nieuwste tools. Daarom moeten gebruikers wachtwoorden instellen die ten minste 10 tekens lang en complex zijn, en wachtwoorden periodiek wijzigen.
Multi-factor authenticatie (MFA)
MFA is geboren uit noodzaak. Zelfs het meest geavanceerde wachtwoord kan worden gestolen. Metmulti-factor authenticatie moeten ongeautoriseerde gebruikers hun identiteit misschien op een andere manier verifiëren als zij het beveiligingssysteem van het systeem activeren. Bijvoorbeeld, als een systeem een nieuw apparaat of IP-adres identificeert tijdens een inlogpoging, kan het om een PIN of token vragen, zelfs als de gebruiker de juiste inloggegevens verstrekt.
Twee-factor authenticatie (2FA)
Veel mensen vragen zich af wat het verschil is tussen 2FA en MFA. Het antwoord is dat 2FA in wezen een subset is van MFA. Zoals vermeld, vraagt MFA om twee of meer authenticatiefactoren. 2FA vraagt slechts om twee, meestal een wachtwoord en een toegangscode die naar een e-mailaccount of mobiele apparaat wordt gestuurd. Je kunt meer leren over debasisprincipes van twee-factor authenticatie.
Hoewel gebruikers van social media 2FA gebruiken om hun accounts te beschermen, verdienen sommige platforms, helaas, aan accountbeveiliging. Je hebt misschien gelezen over Twitter en tweefactorauthenticatie, waar het platform de beveiligingsinstellingen drastisch omgooit. Sinds 19 maart kunnen gebruikers geen op SMS-gebaseerde 2FA meer gebruiken zonder een abonnement te nemen.
Gebruikers hebben echter andere mogelijkheden (voorlopig). Ze kunnen bijvoorbeeld tweefactorauthenticatie op Twitter instellen met een hardware sleutel voor geavanceerde beveiliging. Een hardware sleutel is beter voor de veiligheid dan SMS, dat kwetsbaar is voor sim-swapping aanvallen.
Enkelvoudige authenticatie (SFA)
Zoals de naam al aangeeft, vereist SFA dat gebruikers slechts één vorm van authenticatie bieden. Meestal is een wachtwoord de meest voorkomende vorm van SFA. Hoewel SFA gemakkelijker kan zijn dan MFA, is het vaak minder veilig, vooral als het type authenticatie zwak is. SFA is ook kwetsbaar voor social engineering-aanvallen zoals phishing.
Certificaat-gebaseerde authenticatie
Bij dit type authenticatie gebruikt een systeem een digitaal certificaat. Certificaat-gebaseerde authenticatie is veiliger dan wachtwoorden omdat de certificaten geavanceerd zijn, sleutels gebruiken en door de uitgevende instantie kunnen worden ingetrokken. Grootschalige organisaties zoals overheden gebruiken deze cryptografie-techniek voor verbeterde beveiliging.
Biometrische authenticatie
Zoals eerder vermeld, maakt biometrische authenticatie gebruik van unieke fysieke kenmerken zoals vingerafdrukken, stemmen en irissen om systemen te beveiligen. Biometrische authenticatie is de meest veilige en gemakkelijke vorm van authenticatie.
Token-gebaseerde authenticatie
Webapplicaties, API's en andere systemen gebruiken vaak tokens om gebruikers te authenticeren. In het kort, een token is een unieke identificator die aan een geautoriseerde gebruiker wordt toegekend. Hoewel tokens in gebruik toenemen door de opkomst van hybride werkomgevingen, neemt ook de diefstal van tokens toe.
Basis authenticatie
Een basis authenticatiesysteem vraagt alleen om een gebruikersnaam en wachtwoord om een gebruiker te verifiëren. Systemen die basis methoden gebruiken zijn kwetsbaarder voor hackers. Alleen interne testbronnen of openbare systemen zoals openbare WiFi gebruiken tegenwoordig basis authenticatie. Basis authenticatie is de primaire reden dat gebruikers voorzichtiger moeten zijn bij het gebruik van openbare WiFi.
Wachtwoordloze authenticatie
Naarmate gebruikers en organisaties meer gemak willen met beveiliging, nemen wachtwoordloze authenticatie-opties zoals biometrie, beveiligingssleutels, tokens en eenmalige codes toe in populariteit binnen bedrijfsomgevingen en consumentenplatforms.
Naast extra gemak kan wachtwoordloze authenticatie meer veiligheid bieden omdat veel gebruikers zwakke wachtwoorden blijven gebruiken of slachtoffer worden van phishing-aanvallen die op inloggegevens mikken.
Kennis-gebaseerde authenticatie (KBA)
KBA is een type authenticatie dat iemands kennis test van informatie die ze hebben opgeslagen om hun identiteit te verifiëren. Voorbeelden van KBA zijn het beantwoorden van vragen over de straat waar ze zijn opgegroeid, hun favoriete kleur of de meisjesnaam van hun moeder.
Er zijn meerdere redenen waarom KBA een zwakke authenticatiemethode is. Met meer gebruikersdata publiek beschikbaar op message boards en sociale mediaplatforms zoals LinkedIn en Facebook, wordt het makkelijker voor een aanvaller om de benodigde data te verzamelen om KBA te omzeilen. Bovendien zijn gebruikers minder geneigd om complexe antwoorden op geheime vragen te stellen dan complexe wachtwoorden.
Wederzijdse authenticatie
Wederzijdse authenticatie, ook bekend als tweerichtingsauthenticatie, is een type authenticatie waarbij beide partijen in een verbinding elkaar verifiëren, meestal met digitale certificaten. Hoewel wederzijdse authenticatie het vaakst wordt gebruikt door communicatieprotocollen zoals Transport Layer Security (TLS) en Secure Sockets Layer (SSL), maken veel Internet of Things (IoT) apparaten ook gebruik van de techniek in apparaat-naar-apparaat verbindingen.
SMS-authenticatie
SMS-authenticatie gebruikt sms-berichten als een onderdeel van MFA. SMS-authenticatie werkt het best wanneer de authenticatiemethoden onvermengd blijven. Bijvoorbeeld, een mobiele provider had het slimme idee om SMS-authenticatie te mengen met een advertentie, wat aanvallers in staat zou kunnen stellen om meer overtuigende smishing-aanvallen te ontwerpen.
Netwerk- of serverauthenticatie
Netwerkauthenticatie verwijst naar de identificatie van gebruikers die toegang proberen te krijgen tot een netwerk of server. Dit type authenticatie wordt gebruikt in communicatieprotocollen, VPN's, firewalls en systemen die toegang tot applicaties beheren.
Geheime sleutel authenticatie
In een systeem met geheime sleutel authenticatie delen de gebruiker en het systeem een cryptografische sessiesleutel die alleen bij de twee partijen bekend is. Deze sleutels zijn symmetrisch. Met andere woorden, ze werken voor zowel versleuteling als ontsleuteling. Communicatieprotocollen zoals Secure Sockets Layer (SSL) gebruiken geheime sleutel autorisatie om de veiligheid van gegevensoverdracht te garanderen, bijvoorbeeld tussen een webbrowser en een website.
Fysieke beveiligingssleutel
Een fysieke beveiligingssleutel is een stuk hardware dat een gebruiker helpt hun identiteit te bewijzen en dient als een voorbeeld van bezit-factor authenticatie. Een fysieke beveiligingssleutel genereert meestal een unieke code die wordt gedeeld met een systeem voor authenticatie. Fysieke beveiligingssleutels werden meer dan een decennium geleden alleen door grote organisaties, zoals banken en inlichtingendiensten, gebruikt.
Tegenwoordig laten veel verschillende soorten platforms, zoals gaming, e-commerce en sociale media gebruikers hun accounts beschermen met fysieke beveiligingssleutels. Gebruikers kunnen bijvoorbeeld Facebook’s hardware sleutel authenticatie voor iOS en Android inschakelen voor een extra beveiligingslaag op hun accounts.
Authenticatie beste praktijken
- Let op voor malware die is ontworpen om inloggegevens of gevoelige data te stelen, zoals sommige soorten Trojans, spyware en keyloggers. Leer ook hoe je een keylogger verwijdert omdat het toetsaanslagen, schermafbeeldingen en andere informatie kan oogsten om een authenticatiesysteem te misleiden.
- Stel wachtwoorden in die ten minste tien tekens lang zijn en een mix van cijfers, symbolen en letters bevatten.
- Vermijd bekende patronen in wachtwoorden, zoals een geboortedatum of de naam van een favoriete beroemdheid.
- Bewaar je inloggegevens nooit in het zicht, zoals op een stuk papier op je bureau. Versleutel wachtwoorden op apparaten.
- Geef je wachtwoord een extra steuntje in de rug door MFA-methoden zoals biometrische identificatie of een beveiligingssleutel te gebruiken.
- Wees op je hoede voor social engineering aanvallen die zijn ontworpen om je inloggegevens te stelen.
- Vermijd het hergebruiken van je wachtwoord; anders kan een gestolen wachtwoord leiden tot meerdere accountinbraken.
- Verander je wachtwoord regelmatig. Probeer een gerenommeerde wachtwoordmanager te gebruiken voor gemak.
- Moedig je netwerkbeheerder aan om sessieduur te beperken om sessiekaping te voorkomen.
- Beheerders moeten authenticatielogboeken en netwerkgegevens monitoren om snel te reageren op verdachte activiteiten, zoals meerdere toegangsverzoeken van verdachte IP-adressen.
- Organisaties moeten overwegen een zero-trust architectuur te adopteren voor meer veiligheid.
