Wat maakt een authenticatie met twee factoren niet juist?
Twee-factor-authenticatie is gebruikelijker geworden in gevoelige omgevingen zoals in bankieren, betalingsverwerking, sociale media en andere platforms waar u veel persoonlijke informatie deelt die u absoluut niet wilt dat iemand anders de hand kan leggen. Het is een zeer krachtige manier geweest om ervoor te zorgen dat u de enige persoon bent die toegang heeft tot uw gegevens, maar er is slecht nieuws: het is gebrekkig. Niet alles is echter slecht nieuws. Het lijkt erop dat sommige bedrijven werken aan het maken van een nieuwe vorm van authenticatie die een aantal van deze tekortkomingen verklaart.
Een primer op twee-factorenauthenticatie
De kern hiervan is deze: als je iets anders dan alleen een gebruikersnaam en wachtwoord moet gebruiken om in een account te komen, gebruik je waarschijnlijk een tweefactorauthenticatie om erin te komen.
Meestal ziet u dit gebeuren wanneer u zich aanmeldt bij een bank-app of een app als Uber voor de eerste keer gebruikt. Het komt meestal in de vorm van een sms-bevestiging om te controleren of u de eigenaar bent van het telefoonnummer dat bij het account is geregistreerd.
Sommige banken geven je een digitale token-generator (net als de Authenticator-app van Google) die elke minuut een reeks getallen genereert die je moet gebruiken om je aan te melden bij je account.
Andere applicaties maken gebruik van een slim automatisch detectiesysteem dat uw telefoonnummer oproept en opneemt wanneer de oproep binnenkomt om te vertellen dat u de eigenaar van uw telefoon bent.
In sommige gevallen kan verificatie met twee factoren zelfs biometrische gegevens inhouden, zoals een vingerafdruk of uw gezicht. Sommige van deze methoden worden gebruikt in plaats van een wachtwoord om bepaalde dingen te doen, zoals het ontgrendelen van je telefoon.
Al deze methoden zijn uitgevonden om nauwkeurig te bewijzen dat jij jezelf bent.
The Fly in the Ointment
De grootste tekortkoming van moderne authenticatiemethoden is dat ze geen rekening houden met het feit dat mensen ze gebruiken. We vinden altijd nieuwe en creatieve manieren om onze gegevens te misbruiken, en geen enkele beveiligingsmaatregel die vandaag bestaat, kan dit echt compenseren.
In veel gevallen vallen we voor social engineering-regelingen die ons ertoe brengen om cruciale informatie weg te geven aan mensen die proberen toegang te krijgen tot onze accounts.
Er is ook het risico van diefstal. Als iemand je telefoon steelt, hebben ze nu een manier om bevestigings-sms-berichten te ontvangen. Als iemand je token steelt, kunnen ze je bankrekening verifiëren.
Vingerafdrukken? Ze zijn ook kwetsbaar. Dus is gezichtsherkenning.
Een nieuwe grens met zijn eigen kanttekeningen
In het najaar van 2017 heeft een groep mobiele providers in de Verenigde Staten aangekondigd dat ze een nieuwe vorm van authenticatie zullen uitbrengen die alle hierboven genoemde tekortkomingen moet verhelpen. Hoewel dit allemaal erg leuk klinkt, zijn er niet veel details over hoe deze nieuwe authenticatiemethode zou werken.
De groep, bekend als de Mobile Authentication Taskforce, zei dat hun nieuwe methode "de risico's van mobiele identiteit zou verminderen door gegevens en activiteitspatronen op een mobiel netwerk te analyseren om met een hoge mate van zekerheid te voorspellen of de gebruiker is wie zij zeggen dat ze zijn .”
Dit klinkt een beetje alsof ze bewegingen en datapatronen van mobiele gebruikers zouden volgen en gebruiken om een "vingerafdruk" van hun identiteit te creëren. Als er te veel van dit patroon afwijkt (bijvoorbeeld wanneer uw telefoon zich plotseling in Londen bevindt en niet inlogt op de websites waar u gewoonlijk op inlogt), dan zou het veilig zijn om aan te nemen dat de identiteit van de gebruiker is aangetast.
Hoewel dit voor sommigen misschien opwindend klinkt, veroorzaakt het zeker bezorgdheid bij anderen die zich zorgen maken over privacy en hun vermogen om controle te hebben over hun gegevens. Veel mensen zullen zich misschien niet op hun gemak voelen als hun mobiele netwerkaanbieders elke beweging en alle gegevens die ze via het internet versturen volgen. En wat als een overheid records van deze gegevens wil archiveren?
Aan welke kant ben je? Gelooft u dat de nieuwe authenticatiemethode van de MAT een stap voorwaarts is in het stoppen van hackers, of zijn de privacyproblemen voldoende om u af te zetten naar het idee? Vertel ons wat je denkt in een reactie!