Tag archieven: Security



Accounts beveiligen met tweestapsverificatie

Door | | , ,
Reacties uitgeschakeld voor Accounts beveiligen met tweestapsverificatie

Tweestapsverificatie is een van de beste manieren om een account te beveiligen tegen ongewenste indringers. Je kent vrijwel zeker de methode via sms, maar er zijn meer soorten. We nemen ze in dit artikel eens onder de loep. Want accounts beveiligen is nu eenmaal nodig.

Tweestapsverificatie of tweefactorauthenticatie (afgekort 2FA), is een ingewikkelde term voor het gebruik van een extra wachtwoord of ‘token’ boven op je gebruikersnaam en wachtwoord. Die extra code ontvang je via een sms, app of een speciaal stuk hardware. Het is een bijzonder goede beveiligingsmethode voor de meeste accounts waar je moet inloggen.

In tegenstelling tot een gebruikersnaam en wachtwoord is een 2FA-token (meestal) tijdelijk. Er zijn daarom geen databases vol met inlogcodes. Aanvallers moeten ze direct weten te onderscheppen, anders verlopen ze. Bovendien is het lastig zowel een wachtwoord als 2FA-token te achterhalen. Niet onmogelijk, maar doorgaans te moeilijk voor een grootschalige aanval. Dat maakt tweestapsverificatie juist zo veilig.

Het idee om een extra authenticatiestap toe te voegen aan het inlogproces is verre van nieuw, en een explosief groeiend aantal online diensten biedt wel een of andere vorm van 2FA aan. En hoewel ook tweestapsverificatie niet onfeilbaar is, is het voor de doorsnee gebruiker een erg goede methode om accounts te beveiligen. Toch blijft het gebruik ervan flink achter.

Grote spelers zoals Google proberen het proces al jaren makkelijker en toegankelijker te maken, maar zelfs dan willen gebruikers nog niet aan de 2FA. In januari vertelde Google dat minder dan tien procent van de 1,4 miljard gebruikers tweestapsverificatie had ingesteld op zijn of haar account.

One-time-passwords

Bij tweestapsverificatie wordt gebruikgemaakt van ‘One Time Passwords’, OTP’s. Daar zijn twee varianten van: HOTP (HMAC-based One Time Passwords, waarbij HMAC weer staat voor Hash-based Message Authentication Code) en TOTP (Time-based One-Time Passwords). HOTP’s zijn wachtwoorden die eenmalig worden aangemaakt en langer blijven bestaan. Deze methode wordt gebruikt voor wachtwoorden die per sms of e-mail worden verstuurd, of die met een fysieke hardwaretoken zoals een Yubikey worden aangemaakt.

De methode heeft als voordeel dat je het langer kunt gebruiken, wat weer handig is als je lang moet wachten voor een sms binnen is. TOTP’s (Time-based One Time Passwords) zijn wachtwoorden die een beperkte tijd beschikbaar zijn. Dat is de standaard die gebruikt wordt in apps zoals Google Authenticator. Die wachtwoorden zijn slechts beperkt te gebruiken, wat ze een stuk veiliger maakt tegen ‘brute force’-aanvallen.

Een one-time-password wordt gegenereerd op basis van een unieke privésleutel die je krijgt als je 2FA instelt. Meestal is dat in de vorm van een QR-code die je scant, maar je kunt de ‘key’ ook vaak handmatig opgeven. Die privésleutel wordt vervolgens via een algoritme omgezet in een unieke ‘hashcode’. Bij een Time-Based OTP is dat algoritme gebaseerd op een tijdstempel van de server waar je verbinding mee maakt. Deze ‘time stamp’ wordt gemaakt op het moment dat je 2FA instelt.

Verschillende authenticatiemethodes

Er zijn inmiddels veel verschillende manieren om tweestapsverificatie te gebruiken, allemaal met hun eigen voor- en nadelen. De bekendste manier is waarschijnlijk sms, maar dat is gelijk ook een vreemde eend in de bijt. Sms is handig, maar ook onveilig om meerdere redenen – daarover later meer.

Je kunt authenticatiecodes ook via e-mail ontvangen, maar ook dat is niet erg veilig. Je brengt 2FA dan namelijk terug naar een zogeheten ‘single point of failure’, waarbij iemand met toegang tot je e-mailaccount gelijk toegang tot andere accounts heeft. In dat geval voegt 2FA niets toe. Toch is het bij diensten als Firefox Sync alleen nog mogelijk e-mailverificatie te gebruiken.

Een populaire én relatief veilige methode is om een app te gebruiken. Google heeft met Authenticator een van de bekendste, maar er zijn er meer. Microsoft heeft Microsoft Authenticator, en hoewel die veel minder gedownload is, is het aan te raden deze dienst te gebruiken als je een Windows Phone hebt.

Als je vaak van telefoon wisselt kan het vervelend zijn om alle codes opnieuw te scannen, en in dat geval is Authy de beste optie: die app kan de privésleutels opslaan in de cloud, zodat je de hashcode die daarop gebaseerd wordt ook op een nieuwe telefoon kunt instellen. Maar ook daar zit natuurlijk weer een risico aan: je moet je Authy-account dan wel erg veilig houden.

De veiligste (maar ook duurste) manier om tweefactorauthenticatie in te schakelen is het gebruik van een hardwaretoken. Dat zijn fysieke sleutels, zoals een usb-stick, die offline een code genereren op een klein scherm of die je via usb kunt gebruiken om een code door te geven. Op die manier kan de code niet via bijvoorbeeld een hack onderschept worden. De Yubikey is de bekendste versie van zo’n apparaat.

Een handjevol diensten biedt een eigen, alternatieve methode van tweestapsverificatie aan of geeft daar zijn eigen draai aan. Google is een goed voorbeeld. Het bedrijf biedt al sinds jaren tweestapsverificatie aan via sms en natuurlijk Googles eigen Authenticator-app, maar je kunt ook kiezen voor een pop-up via de Google-app op je telefoon. Die verschijnt meteen zodra je ergens inlogt, zodat je alleen maar op ‘Ja’ hoeft te tikken om te authenticeren.

Een andere dienst die 2FA tot slot heel goed implementeert is WhatsApp. Als je die functie hebt ingeschakeld, vraagt de app om een zescijferige pincode wanneer je WhatsApp op een nieuw apparaat installeert. Maar omdat dat niet vaak gebeurt, is een geheugensteuntje wel handig. Daarom vraagt de applicatie je eenmaal per week de code in te voeren, gewoon om te zorgen dat je die niet vergeet.

Bron: pcmweb.nl



Hoe Sophos ransomware in de kiem smoort

Door | | , , ,
Reacties uitgeschakeld voor Hoe Sophos ransomware in de kiem smoort

Sophos

Sophos @ Belgium Tech Show

Ransomware groeit in sneltempo uit tot één van de populairste tools van cybercriminelen. Nieuwe technieken moeten de malware beter bestrijden.

Heel wat mensen worden tegenwoordig geconfronteerd met ransomware. De malware die je computer gijzelt is erg lucratief voor cybercriminelen en securityspecialisten hebben er nog niet altijd een pasklaar antwoord op.

“Hoe leuk zou het zijn dat je de ransomware die de dag van vandaag bestaat, zou kunnen tegenhouden zonder dat je moet wachten op nieuwe definities, zodat zelfs Patient Zero kan worden beschermd? En hoe interessant zou het zijn om te weten waar infecties vandaan komen?”, opent Lars Putteneers, Sales Engineer bij Sophos zijn pitch op het podium van onze Belgian Tech Show. Die vragen wil Sophos beantwoorden met zijn nieuwe technologie Intercept X.

Elk jaar komen er meer dan 100 miljoen unieke malwares bij, ofwel zo’n 400.000 per dag. Vaak gaat het slechts om een kleine aanpassing van een bestaande malware, maar dat is voldoende om antivirussoftware om de tuin te leiden. Dagelijks vullen securityspecialisten hun databanken aan met duizenden nieuwe samples, maar het blijft dweilen met de kraan open. “Met definities alleen kan je al die malware niet meer tegenhouden”, stelt Putteneers. “Je hebt extra bescherming nodig.”

Met Intercept X wil Sophos de malware stoppen voor die op je systeem wordt uigevoerd. “Er zijn een twintigtal verschillende technieken die altijd gebruikt worden om een exploit op een systeem te zetten en een zwakheid uit te buiten”, legt Putteneers uit. Intercept X herkent en blokkeert die technieken. Zo kan malware waar nog geen definitie van bekend is toch worden tegengehouden en wordt ook Patient Zero beschermd. Er bestaat echter ook legitieme software die beroep doet op deze technieken, zoals onder meer Cisco WebEx en Spotify. “Daarom werken we met een whitelist,” verduidelijkt Putteneers. “De eindgebruiker kan zelf applicaties whitelisten en die worden dan eerst door Sophos gecontroleerd.”

Ransomware

Om ransomware te bestrijden, gaat Intercept X de bestandstoegang monitoren. “Wanneer een proces of applicatie write access vraagt naar een document gaan we vanuit een eigen ontwikkelde applicatie een just-in-time back-up maken,” vertelt Putteneers. Sophos heeft hiervoor een eigen applicatie ontwikkeld omdat alternatieven zoals de schaduwkopieën van Windows of back-ups van Veeam reeds bekend zijn bij de malwaremakers en gewoon mee worden geëncrypteerd.

Wanneer het document weer wordt weggeschreven, controleert Intercept X of het nog steeds een gewoon document is. Zo ja, dan wordt de back-up verwijderd en kan het document zijn verdere leven leiden. Blijkt het document geen gewoon document meer te zijn en  is het onleesbaar voor de originele applicatie, dan wordt het verder opgevolgd. Het achterliggende proces wordt afgestopt en de originele bestanden worden teruggezet uit de back-up.

Aanvullend

Intercept X werd ontwikkeld om exploits en cryptolockers te bestrijden, maar niet om virussen (executables die de gebruiker zelf moet uitvoeren) te detecteren. Je hebt daarnaast dus nog altijd een degelijke antivirus nodig. De software is gebaseerd op Hitman Pro, dat sinds enige tijd in handen is van Sophos en onder die naam nog altijd gratis aan consumenten wordt verdeeld. 

Intercept X is specifiek gericht op bedrijven. Naast het tegenhouden van exploits voert de software ook een zogenaamde root-cause analysis uit. Die analyse gaat op zoek naar de manier waarop de exploit is binnengekomen in het bedrijfsnetwerk, bijvoorbeeld via een website of e-mail, en welke gebruiker verantwoordelijk is.

Bekijk hier de video van Sophos’ pitch van Intercept X op de Belgian Tech Show:

Bron: www.zdnet.be