maandag 1 februari 2016

2-pass-verification

Enige tijd geleden schreef ik over LastPass en de noodzaak betere wachtwoorden te gebruiken dan overal dezelfde Woerden123 (hoofdletter+kleine letter+cijfer, en meer dan zeven karakters). Iemand die mijn wachtwoord wil raden, zou dit in de eerste tien pogingen proberen.

Maar er zijn wachtwoorden die, als ze in verkeerde handen vallen, extra grote schade kunnen aanrichten. Het hoofdwachtwoord van LastPass is er zo een, maar ook het wachtwoord van je Google Account, dat ook aan GMail is gekoppeld. Je kunt deze wachtwoorden nog zo uniek en ingewikkeld maken, als iemand dat wachtwoord heeft, staat de deur tot je hele online leven op een kier, want LastPass laat gelijk je hele wachtwoordkluis zien, en GMail geeft de mogelijkheid nieuwe wachtwoorden via de mail te ontvangen van diensten die je gebruikt.

Daarom wil je zulke wachtwoorden extra beveiligen, en daar is 2-pass-verification voor bedoeld.

Hoe werkt het?

Zodra je inlogt op een website met 2-pass-verification wordt je gevraagd om "een extra nummer" dat door je mobiele telefoon is gegenereerd, specifiek voor die dienst. Er komen steeds meer diensten die 2-pass ondersteunen, en op verschillende manieren. Een oud systeem is het "dingetje van de bank", die samen met je bankpas en je pincode een unieke code genereert. De SMS die DigiD je stuurt bij het inloggen is ook een variant.

Is dat niet lastig?

Nu moet je dus bij het inloggen nog meer invoeren? Nou, ja, en nee. Op je eigen computer/tablet/telefoon geef je die code maar 1x in, of wellicht 1x per maand. Je geeft aan dat het een vertrouwd apparaat is, en je wordt een lange tijd niet meer naar de code gevraagd, op dezelfde manier waarop je wachtwoord op een vertrouwde computer wordt bewaard. Maar zit je nu op een computer van iemand anders, of je krijgt een nieuwe, dan moet je wel die gegenereerde code invoeren. En als iemand op een of andere manier jouw wachtwoord weet (door een keylogger bijvoorbeeld, of stiekem meegekeken over je schouder), dan kunnen ze er nog steeds niet mee inloggen, omdat ze de code niet kunnen genereren.

Wat als ik mijn telefoon kwijt raak?

Sommige websites geven een "backup" lijstje, sommige websites geven een extra code/wachtwoord, dat je kunt gebruiken mocht de 2-pass niet meer werken. Sla die gewoon op in Lastpass! Maar de simpelste manier is om (tijdelijk!) 2-pass uit te zetten op je vertrouwde computer, bij alle services waar je 2-pass gebruikt. Gewoon in de instellingen van de desbetreffende web-service. Daarna kun je het weer inschakelen. Ik ben de afgelopen paar jaar al een aantal maal van telefoon gewisseld (nieuw model, factory reset, etc), en soms was het wel even een gedoetje, maar het is iedere maal gelukt om 2-pass op mijn nieuwe apparaat weer in te schakelen.

Google Authenticator is zo'n generator, maar de Facebook-app had zijn eigen generator, en er zijn ook commerciele apps, en soms ondersteund een website enkel SMS. Mijn advies is: gebruik deze extra beveiligingslaag, want je wachtwoorden liggen op straat voor je het weet (en zonder dat JIJ er veel aan kan doen), en hackers delen dit soort informatie graag en veel. Maar als jij 2-pass-verification inschakelt, heeft een hacker aan jouw wachtwoord helemaal niets.

1 opmerking:

  1. Handige post! Ik vroeg mij inderdaad af hoe het zou werken als je je telefoon kwijt zou raken. Het staat er gewoon bij. Fijn. Ik heb namelijk mijn telefoon laten vallen, waarna hij naar de telefoon reparatie moest. Mocht het nog een keer gebeuren, dan weet ik dat het mogelijk is om 2-pass over te schakelen op een nieuw toestel.

    BeantwoordenVerwijderen