Je account beveiligen met tweefactorauthenticatie (2FA)

Steeds meer diensten bieden een tweefactorauthenticatie als extra beveiliging bij het aanmelden. Veel mensen worden daar echter door afgeschrikt omdat het te ingewikkeld lijkt. Maar als je het goed doet, heb je nauwelijks last van je account beveiligen met tweefactorauthenticatie, maar alleen voordelen.

Als familie, vrienden of lezers mij vragen hoe ze hun beveiliging kunnen verbeteren, is mijn eerste tip altijd om belangrijke accounts te beveiligen met tweefactorauthenticatie (ook wel afgekort tot 2FA). Dat levert veel op en kost maar weinig. Sowieso kost het niets, en het extra gedoe is eigenlijk minimaal.

Praktisch gezien betekent tweefactor­authenticatie tegenwoordig dat je voor toegang tot je account naast je wachtwoord een cijferreeks moet invoeren die maar één keer geldig is. Meestal krijg je dat wegwerpwachtwoord via een sms’je op je mobiele telefoon, maar dat is eigenlijk alweer een beetje achterhaald omdat die methode in het verleden al vaker gehackt is. Het lukte criminelen om de sms om te leiden, bijvoorbeeld via een trojan op de smartphone or door een tweede simkaart van de provider te krijgen.

Het is beter wanneer de tweede factor door een app gegenereerd wordt. Google Authenticator (voor Android of voor iOS) heeft zich inmiddels als standaard gevestigd. Hij is zowel voor Android als iOS beschikbaar en geenszins beperkt tot alleen Google. In tegendeel: bijna alle diensten die tweefactorauthenticatie aanbieden, werken ook met Google ­Authenticator, of elke andere app die ‘TOTP’ ondersteunt (waar later meer over). Naast Amazon, Microsoft en Dropbox zijn dat met name alle marktplaatsen voor cryptovaluta’s. De website twofactorauth.org biedt een overzicht dat ingedeeld is op marktsectoren. Authenticator en vergelijkbare services worden daar ‘software token’ genoemd.

Het inrichten van tweefactorauthenticatie (2FA) is eenvoudig: allereerst installeer je Google Authenticator op je smartphone. Vervolgens kies je bij de veiligheidsinstellingen van een dienst die je van 2FA wilt voorzien de optie voor het inrichten van een tweefactorauthenticatie. In het algemeen verschijnt dan een website met een QR-code. Via het plusteken in het menu van de app kun je een nieuwe account toevoegen. Je richt de camera van je smartphone op de QR-code en onmiddellijk verschijnt er een 2FA-code in het Authenticator-overzicht. Die codes zijn telkens 30 seconden geldig. Vlak voordat ze aflopen worden ze rood, daarna is de code niet meer geldig. Ter bevestiging van de activering voer je de weergegeven code in en klaar.

Op dat moment heb je wellicht al een tik­kende tijdbom in huis gehaald. Als je in het vervolg wilt inloggen, moet je een 2FA-code kunnen geven. Dat gaat op zich redelijk eenvoudig met Authenticator op je smartphone. Maar wat te doen als je smartphone opeens kwijt is?

Op internet staan wel talloze handleidingen hoe je Google Authenticator naar een nieuwe smartphone verhuist, maar die gaan er echter vanuit dat je een statische back-upcode gebruikt om je Google-­account te openen en Authenticator nieuw in te richten. Maar daarmee heb je alleen de toegang tot je Google-account gered. Voor diensten als Amazon, Apple en dergelijke blijven er verder geen 2FA-codes verschijnen.

Bij al die diensten moet je dan een ‘Ik ben mijn inloggegevens vergeten’-proces doorlopen. Als het goed beveiligde accounts betreft, is dat niet met een klik op de wachtwoord-wijzigen-knop en een eenvoudige e-mail gedaan, maar vaak moet je dan persoonlijk contact opnemen met de service, moet je een identiteitsbewijs kunnen overleggen, en ga zo maar door.

Het Google-account van een van onze medewerkers werd twee weken lang geblokkeerd om dat uit te zoeken, en een andere medewerker moest zich bij een service­provider identificeren door een kopie van zijn identiteitsbewijs te uploaden. Dat kan allemaal behoorlijk gedoe opleveren.

Daar zul je in de praktijk waarschijnlijk geen last van krijgen, maar het kán gebeuren. Op het moment dat je de tweefactorauthenticatie bij een dienst activeert, neem je waarschijnlijk aan dat het verlies van je smartphone extreem onwaarschijnlijk is en dat dit hooguit anderen overkomt. Maar je smartphone hoeft niet eens gestolen te worden, hij kan ook gewoon stuk gaan of beginnen te haperen, de accu doet het niet meer of je laat hem vallen en het scherm gaat stuk. Kortom, je moet een nieuwe smartphone hebben. Uiteraard komt daar ook weer Google Authenticator op en zet je een back-up terug … en toch is het account nog steeds geblokkeerd.

Dat komt niet doordat Google iets over het hoofd heeft gezien, maar dat is een bewuste keuze geweest ten gunste van de veiligheid. Google heeft dat gebaseerd op de vereisten van hardware-tokens, die niet gekloond mogen worden. Het moet vergelijkbaar onmogelijk zijn – of ten minste zo moeilijk mogelijk – om achteraf een kopie te maken van een eerder geïnstalleerde Authenticator.

Daarom wordt daar geen back-up van gemaakt. Als je smartphone kwijt of stuk is, moet je alle accounts op de een of andere manier handmatig ontgrendelen. Voor een zakelijke omgeving is dat nog wel logisch, daar kan een beheerder snel even een nieuwe Authenticator-instantie inrichten. Voor privégebruikers die op account-recovery-mechanismen van gratis services zijn aangewezen, wordt dat snel een grote nachtmerrie.

Dat geldt overigens ook als je bijvoorbeeld op een iPhone een lokaal opgeslagen back-up wilt terugzetten die ook wifiwachtwoorden en andere geheime informatie bevat. De nieuw geïnstalleerde Authenticator op een nieuwe iPhone zal je ook op geen enkele manier toegang tot die gegevens verschaffen.

Er is dan maar één manier om je tegen dat horror­scenario te beschermen: je moet een beginwaarde, een zogenaamde ‘seed’, bij het inrichten van de tweefactorauthenticatie gebruiken. Die seeds zijn het geheim dat de Authenticator en de servers met elkaar delen. Uit zo’n seed berekenen beide partijen de geldige code. Een seed wordt door de server aangemaakt en normaal gesproken via de QR-code aan de 2FA-app doorgegeven.

Veel services tonen hem echter ook als lange tekenreeks die uit letters en cijfers bestaan. Die wordt dan vaak ‘back-up code’ of ‘Your secret’ of iets dergelijks genoemd. Sommige services vragen je zelfs om die code op te schrijven. Soms komt het ook voor dat er geen optie is om de code te tonen. Dan kan het zijn dat je de seed kunt opzoeken via een handmatige set-up zonder QR-code. Die wordt dan getoond zoals je hem ook bij Google Authenticator moet invoeren.

Via een QR-code komt de vereiste geheime code in de Authenticator-app terecht.

Voordat je een tweefactorauthenticatie voor het inloggen van een account activeert, moet je die tekenreeks absoluut opschrijven, en wel heel ouderwets met pen en papier. En het papiertje waar je hem opschrijft moet je goed opbergen, het liefst achter slot en grendel in een kluisje. Of anders kun je ook een bestand versleutelen en goed bewaren.

Omdat dat geschrijf met de hand allemaal wat veel gedoe is, had ik bij het tweede account al mijn smartphone gepakt om een foto van het scherm te maken. Maar uiteindelijk bedacht ik me, omdat dat wel een heel erg slecht idee is. Zo’n foto komt binnen de kortste keren ergens terecht waar hij niet thuishoort, bijvoorbeeld in een lokaal fotoarchief, een back-up of zelfs in de cloud. En als iemand de QR-code in handen krijgt, kan hij op elk moment de juiste 2FA-codes genereren. Ook uitgeprinte screenshots die je op je bureau neerlegt of die in een mapje met foto’s terecht­komen zijn geen goed plan. Opschrijven is dan wellicht ouderwets en een beetje een gedoe, maar wel veilig.

Als je dat allemaal toch te lastig vindt, kun je ook een makkelijkere manier kiezen door de app Authy voor iOS en Android te gebruiken. Die slaat alle seeds op in een back-up en biedt handige herstel­mogelijkheden. Om het helemaal duidelijk te stellen: ja, dat is een tikje minder veilig. En ja, er zijn scenario’s denkbaar waarbij dat niet voldoet. Maar het is nog steeds een stuk veiliger dan het achterhaalde concept van (alleen) wachtwoorden. Juist voor persoonlijk gebruik is Authy een aantrekkelijk compromis. Ik gebruik het zelf voor de meeste van mijn belangrijkere privé­accounts die ik veilig wil houden.

Authy biedt meer gemak dan Google Authenticator en is zowel voor iOS als Android beschikbaar.

De makers van Authy hebben goed nagedacht over de veiligheid en zijn met een goed doordacht concept gekomen. Alle back-ups zijn daarbij beveiligd met een master­wachtwoord. Als je smart­phone stukgaat of je hem kwijtraakt, kun je met dat master­wachtwoord alle seeds importeren en heb je meteen ook alle 2FA-codes weer voor alle accounts. Je hoeft dus alleen maar dat ene masterwachtwoord te onthouden, of beter nog, een passphrase die uit meerdere woorden bestaat – en die je opschrijft. Zie bijvoorbeeld deze richtlijnen.

Authy slaat de back-ups van de seeds op in je account in de cloud. Aangezien de gegevens met AES versleuteld worden en het masterwachtwoord als sleutel beveiligd is, kan de service de seeds niet benaderen. Het is dus grotendeels uitgesloten dat iemand de seeds zou kunnen inzien en daarmee dan 2FA-codes kan maken.

Bovendien biedt Authy nog enkele extra opties, zoals het parallel gebruiken op meerdere apparaten en apps voor Windows, macOS en de Chrome-browser. Die hoef je niet te gebruiken, als je dat niet wilt. Authy kun je overal gebruiken waar Google Authenticator ook werkt, ook als een dienst expliciet alleen de Google-app noemt.

Het account is aan je telefoonnummer gekoppeld. Om de back-ups te kunnen benaderen, heb je een telefoon met dat nummer nodig of een Authy-instantie die nog actief is, bijvoorbeeld op een pc waarop je nieuwe apparaten kunt autoriseren. Als alternatief is er een handmatige methode om het telefoonnummer te wijzigen, die twee tot drie dagen duurt. Daarna heb je weer volledige toegang tot alle 2FA-accounts (mits je uiteraard ook over het masterwachtwoord beschikt!). Een back-up die je kunt exporteren en die je zelf kunt opslaan, en die je in geval van twijfel weer kunt herstellen, is er niet.

Bij de tweefactorauthenticatie is er nog een ander veiligheidscompromis dat je kunt aangaan om je leven makkelijker te maken. Veel services ondersteunen namelijk de mogelijkheid om de tweede factor alleen in te voeren bij de eerste keer dat je je met een apparaat via een app of browser aanmeldt. Het apparaat wordt dan als vertrouwd aangemeld en slaat een token op, waarmee het zich ook zonder extra wachtwoord blijvend toegang tot het account kan verschaffen. Veel services, waaronder die van Google, hebben dat zelfs standaard zo ingesteld. Bij andere services, bijvoorbeeld Amazon, kun je een selectievakje met ‘Ik wil aangemeld blijven’ aanvinken om zo aangemeld te blijven.

In die modus levert de tweefactorauthenticatie nauwelijks nog gedoe op. Je hoeft alleen in de eerste dagen alle apparaten die je hebt een keer met een 2FA-code te autoriseren, daarna heb je weer rust. Toch levert dit een enorme veiligheidswinst op: want ook al weet een aanvaller een wachtwoord te bemachtigen, dan moet hij ook nog de controle over een gemachtigd apparaat weten te krijgen om echt schade te kunnen berokkenen. En daar zou het overgrote deel van de daadwerkelijke aanvallen op stuklopen, want die richten zich er alleen op om wachtwoorden in handen te krijgen.

Uiteraard zijn er naast Google Authenticator en Authy nog meer 2FA-apps en toepassingen die misschien wel opties hebben die beter bij je persoonlijke wensen passen. Voor zover die met de gestandaardiseerde TOTP-procedure werken, kun je ze in plaats van Google Authenticator gebruiken. Als je niet zoveel vertrouwen hebt in Google of überhaupt een voorkeur hebt voor opensourcesoftware, dan kun je ook FreeOTP gebruiken. Dat is een aftakking van de laatste opensourceversie van Authenticator die er iets minder gelikt uitziet, maar bij het testen zonder enkele problemen functioneerde.

Er zijn overigens ook hardwarematige oplossingen zoals de YubiKey. Meer hierover lees je in c’t magazine 1-2/2019.

Er zijn ook 2FA-apps die voor bepaalde gebruikers wellicht interessanter zijn dan Google Authenticator en Authy. Als je Lastpass gebruikt, wil je de 2FA-codes wellicht liever met de bijbehorende app aanmaken. Dat geldt mogelijk ook voor gebruikers van Keepass, waar ook een TOTP-module voor is. Als je je bijna uitsluitend in een Windows-omgeving ophoudt, is Microsoft Authenticator misschien interessant.

Heb je veiligheid echt hoog in het vaandel staan en hecht je minder waarde aan gebruiksgemak, blijf dan bij de basis en gebruik Authenticator – en schrijf alle seeds handmatig op. Wil je het jezelf net iets makkelijker maken, dan biedt Authy een handig alternatief waarmee je de seeds niet hoeft op te schrijven en toch de extra veiligheid hebt die het gebruik van wachtwoorden alleen niet kan bieden. In het algemeen geldt dat elke 2FA-app beter is dan alleen maar een wachtwoord.

Voor alle 2FA-apps geldt dat je moet bedenken wat je met alle seeds van de individuele accounts wilt doen. Het is vooral belangrijk om te weten of ze veilig bewaard worden en of er een bruikbare back-up­strategie is die je de moeite bespaart om voor elk account afzonderlijk de hele ellende van het resetten van wachtwoorden te doorlopen als je smartphone op de een of andere manier een keer kwijtraakt of stukgaat.

Er is niets op tegen om een combinatie van beide concepten toe te passen. Voor mijn Amazon-account en enkele andere diensten gebruik ik bijvoorbeeld Authy, en voor sommige accounts waarbij de veiligheid belangrijker is, gebruik ik uitsluitend Authenticator.

(Jürgen Schmidt, c’t magazine)