2FA is niet veilig (brainstorm)

Ik heb een duidelijke scheiding, voor niet boeiende diensten zit de TOTP in mijn wachtwoordkluis. Beschermd voldoende tegen uitgelekte wachtwoorden en random aanvallen. Zeker gezien mijn wachtwoorden al jaren random en uniek zijn per dienst.

Voor belangrijke diensten TOTP via app op de iPhone of iPad (backup).

Alles is hackbaar, er bestaat geen 100% veiligheid. Hoe moeilijker je het maakt, hoe groter de kans dat ze er geen tijd in steken (net als je huis beveiligen).

Telefoonnummer spoofing of sim swapping houd ik sowieso geen rekening mee. Dat is dermate ingewikkeld en dermate gericht op 1 persoon dat ik denk dat de echte goede hacker wel betere en simpelere methodes heeft om binnen te komen.

[ Voor 19% gewijzigd door Drardollan op 17-02-2024 10:48 ]

Veiligheid is niet absoluut. Het is altijd een afweging tussen hoe gemakkelijk iets is en hoe veilig het is. Het klopt dus ook dat 2FA niet absoluut veilig is, maar aanzienlijk veiliger dan alleen username/wachtwoord.

Als voor jou bepaalde implementaties een te hoog restrisico hebben, staat het je natuurlijk vrij om aanvullende maatregelen te nemen.

Nee. MFA is niet absoluut veilig. Volledige veiligheid bestaat niet. Wel: elke MFA-methode is veel veiliger dan geen MFA-methode. Maar inderdaad, als je toch MFA doet, kan je het beter zo goed mogelijk doen.

Maar advies aan digibeten is IMHO heel simpel: neem de MFA-manier die voor jou het makkelijkste werkt.

=> Zichtbaar (aan sleutelbos), dus makkelijk doelwit om te jatten

Amper een probleem in de meeste gevallen. Immers heb je dat snel door en zijn er nog username en password om te achterhalen. Voor 99,9% van de mensen is dit geen issue. De meeste 'hacks' zijn niet gericht, de meesten van ons geen specifiek doelwit voor iemand die dit kan en wil.

Wel specifieke doelwitten: de sysadmins onder ons. Die naar ik aanneem extra maatregelen hebben voor hun separate account met meer rechten. En dan nog kan je eerder spearphishing en token-stelen verwachten dan fysieke diefstal.

..op twee aparte apparaten (laptop kluis 1, telefoon kluis 2)

Dat zou de standaard moeten zijn ja. Of tenminste twee verschillende apps op de telefoon: password-kluis en MFA-app(s). In beide gevallen natuurlijk inclusief uptodate backups.

In plaats van TOTP gebruik ik liever zoveel mogelijk de app push, MS365 + MS Authenticator app (incl. nummer-bevestiging natuurlijk), of Google + de bevestiging in bv. hun GMail-app. Makkelijker, sneller.

En dan is er natuurlijk ondertussen (certificate-based) passwordless authentication.

De fido key aan de sleutelbos is makkelijk te jatten, ja. Dit doet me een beetje denken aan die discussie over inbraakbeveiliging. Super duper dikke sloten want slot X van merk Y is een keer opengemaakt door een professional op YouTube.

Sure, maar inbraak is 99% gelegenheid. Wat ze jatten is de dure ladder die je voor de deur laat staan.

Als je gericht jouw fido key stelen heb je een heel ander probleem.

Door de verschillende eigenschappen van authenticatiemethodes zijn deze soms lastig te vergelijken. Een aardige vergelijking/ranking die ik ken is opgesteld door Daniel Miessler: het The Consumer Authentication Strength Maturity Model (CASMM) V6.

In het model worden de dreigingen waar de authenticatiemethode tegen beschermt steeds 'opgeteld'. Dit lijkt mij een goede manier om de sterke van verschillende methodes te vergelijken, al moet ik er wel bij noemen dat de 'nadelen' zoals fysieke sleutels nog steeds verschillen. Ook is het goed om te beseffen dat een aantal methodes nog subcategorieën hebben, zoals verschillen tussen cloud-based en self-hosted password managers. De 'veiligste' methode is dus niet altijd de meest praktische oplossing, en heeft binnen de categorie dus nog verschillende opties.

Ironisch genoeg moet je ergens beginnen. Passwordless en keypass-achtige oplossingen 'beginnen' ook gewoon met een username en een wachtwoord en de recovery van je data is vaak ook een zwakke plek (die hier niet wordt genoemd).

Ik mis ook de afweging over welke 'A' het gaat.

Stel ik leg mijn borrelnootjes in de kluis naast het goud, betekent dat ook dat mijn kluis open gaat als ik wat wil snacken. Zo fijn is dat dus niet.
Een 'simpele' password manager voor simpele zaken zorgt ervoor dat je niet je 'zware' authenticatie continu gebruikt.

Persoonlijk zijn DigiD/iDeal de (enige?) 2 processen waarbij ik het meeste risico loop. Als ik op mijn pc bezig ben wordt dat via mijn smartphone afgehandeld. Daarmee introduceer ik een extra factor.

Er zitten wel wat zaken in je argumentatie die ik bijzonder vind:

=> Wordt vaak in combinatie met andere gegevens (gebruikersnaam/wachtwoord) opgeslagen in e.g. 1Password/Lastpass

Dan moet je dan uiteraard niet doen als je je druk maakt over security.

Of alleen SMS (onderweg) en FIDO keys (kantoor/thuis) gebruiken, want:
- Dwingt gebruik van 2 beveiligingsmechanismen af (apparaat + simkaart/YubiKey)

Je maakt je druk over de veiligheid van MFA maar vind SMS nog een serieuze optie?

Je kunt uiteraard principiële discussie voeren over de veiligheid van, maar in de praktijk doe je dat niet. Het is altijd de veiligheid van een middel t.o.v. de dreiging die er is.

Ben jij een normale burger (zonder crypto's) dan is SMS meer dan goed genoeg. Ja SMS kan makkelijk gekraakt worden door een SIM swap o.i.d. maar dat is alleen als jij een target bent voor bijvoorbeeld crypto's. En met name in de VS. In NL komt dit een stuk minder voor.

Elke andere vorm van MFA is beter, ook als je die opslaat in je wachtwoord kluis. En anders op je telefoon. Tegen iedere hacker (ook die achter crypto's aangaan) is dit bestand. Grootste pijnpunt is zaken als de LastPass hack, maar ook op dat moment had je nog kunnen ingrijpen als je rigoreus al je wachtwoorden had gereset.

Ben je journalist en schrijf je over China, dan is het een heel ander verhaal. En dan maak je jezelf ook niet meer druk over MFA, maar of je telefoon niet wordt gehackt met iets als Pegasus. Of alleen al het feit dat jouw leverancier wordt gehack (bijvoorbeeld Microsoft). Dan hoeven ze jou niet te hacken en MFA te omzeilen en hebben ze alsnog toegang.

=> Zichtbaar (aan sleutelbos), dus makkelijk doelwit om te jatten

Maar dat vereist iemand met kennis, motief en mogelijkheid. Dus iemand die bereid is om fysiek in jouw buurt te komen, je wachtwoord te stelen en je yubikey te stelen. Die combinatie is zeer onwaarschijnlijk en zou alleen een kleine kans voor zijn bij een doelgerichte aanval.

Deze (principiële) discussie doet mij erg denken aan deze XKCD cartoon:
https://xkcd.com/538/

iApp schreef op zaterdag 17 februari 2024 @ 10:40:
Er zijn drie 2FA methodes met, mijns inziens, een aantal bezwaren:

Time-based one-time password TOPT (digitaal)

SMS / telefoon (spoofable)

FIDO key (x kansen)

Komt allemaal neer op 'iets dat je hebt' - je bewijst op één of andere manier, met een code of een knop, dat jij een specifiek apparaat in bezit hebt.

Spoofable - zeker. Maar aanzienlijk moeilijker dan alleen 'iets dat je weet' namelijk een wachtwoord, dat onafhankelijk van tijd, plaats of persoon altijd toegang geeft.