Dit is waarom je de meeste vormen van MFA beter niet kunt gebruiken
MFA wordt nog altijd gepresenteerd als de heilige graal die phishing-aanvallen bijtijds weet te stoppen
22 juni 2022 -
Een meerderheid van de bedrijven en experts in cybersecurity zal je vertellen dat het altijd beter is om multifactorauthenticatie (MFA) te gebruiken dan alleen een gebruikersnaam en wachtwoord. Maar wat als je weet dat de meeste MFA makkelijk te phishen is? Jelle Wieringa, security awareness advocate bij KnowBe4, vertelt.
Wieringa: "Als jouw organisatie op dit moment nog geen MFA gebruikt, laat je dan niet misleiden door het advies dat elke vorm van MFA beter is dan wat je nu doet. In de kern klopt dat advies (nog) wel, maar als je denkt dat met het ‘aanzetten’ van welke MFA dan ook de organisatie een stuk beter beschermd is tegen phishing krijg je het deksel op je neus. Het gebruik van goede MFA: daar heeft de organisatie pas echt iets aan."
Hackers gaan uit van MFA
Wieringa: "MFA wordt nog altijd gepresenteerd als de heilige graal die phishing-aanvallen bijtijds weet te stoppen. Op dit moment is het inderdaad zo dat veel internetcriminelen geen rekening houden met MFA. Bij de helft van alle phishing-aanvallen wordt het beoogde slachtoffer gevraagd een wachtwoord prijs te geven. Als iemand een wachtwoord in combinatie met MFA gebruikt of vanwege MFA helemaal geen wachtwoord heeft, is de kans erg klein dat zo’n aanval slaagt.
Het probleem is dat steeds meer internetcriminelen er wél vanuit gaan dat hun doelwitten MFA toepassen. Miljoenen mensen die MFA gebruiken zijn al eens gehackt, sommigen zelfs vijftien jaar geleden al. De basis van MFA bestaat namelijk al heel lang en de kennis om het te omzeilen daarom ook. Nu organisaties en consumenten massaal MFA gaan inzetten, zullen steeds meer internetcriminelen zich toeleggen op het hacken van MFA. Er zijn zelfs bots en geautomatiseerde softwareprogramma’s die 24 uur per dag naar MFA zoeken en het systeem vervolgens proberen te kraken."
Goede versus zwakke MFA
Wieringa: "Geen wonder dat de Amerikaanse overheid begin dit jaar heeft afgekondigd dat overheidsorganisaties en bedrijven die met de overheid samenwerken alleen nog phishing resistant MFA mogen gebruiken. Maar wat is dan goede, oftewel niet te phishen MFA?
De nu gebruikelijke MFA (90 procent van wat er op de markt is!) heeft een component die te phishen is. Dat betekent dat een ander toegang kan krijgen tot de gebruikersomgeving met een stukje informatie dat te achterhalen is. De meeste vormen van MFA werken met codes die binnen een bepaald tijdslot moeten worden ingevuld. En dat systeem is helaas niet waterdicht.
Zo kan een beoogd slachtoffer een mailtje krijgen dat zogenaamd van Microsoft komt, met de boodschap dat ze een code gaan sturen om de identiteit van het slachtoffer te verifiëren – bijvoorbeeld omdat er zogenaamd iemand probeert in te loggen op zijn of haar account. Als het slachtoffer daarop ingaat en een door MFA gegenereerde code terugstuurt, voeren internetcriminelen die code in bij het inloggen en zijn ze binnen in bijvoorbeeld de mailbox. Hun volgende stap is om meteen MFA uit te zetten en een eventueel wachtwoord te veranderen, zodat de originele gebruiker is buitengesloten.
Goede MFA heeft geen component die te phishen is. Phishing resistant MFA is uniek aan de gebruiker. Het werkt op basis van biometrie of FIDO (Fast ID Online). Bij beide methodes is een fysieke actie nodig die een internetcrimineel niet kan overnemen, zoals het geven van je vingerafdruk of het in de computer steken van een fysieke sleutel. Die fysieke actie wordt bovendien uitsluitend goedgekeurd binnen bepaalde parameters. Het inloggen kan bijvoorbeeld alleen vanuit Nederland gebeuren."
Maak geen tussenstop
Wieringa: "Phishing resistant MFA is niet duurder of complexer dan de nu wijdverspreide MFA. Het punt is dat die zwakke MFA nog steeds hevig gepromoot en veelvuldig verkocht wordt door de cybersecurity-industrie. Dat moet stoppen, en gelukkig begint de industrie dat zelf ook in te zien. Het omzeilen van zwakke MFA door internetcriminelen is zo’n groot probleem aan het worden dat ze wel een oplossing moeten bieden.
Voor organisaties die nog geen MFA gebruiken is er alle reden om van niets naar meteen iets goeds te gaan, en geen tussenstop te maken bij zwakke MFA. Hoewel er in Nederland geen verplichtingen zijn zoals die van de Amerikaanse overheid, zijn er meer dan voldoende frameworks die voorschrijven dat phishing resistant MFA organisaties het best beschermt. Doe het dus in één keer goed en spoor daarmee fabrikanten en leveranciers aan om alleen nog sterke MFA naar de markt te brengen."