websights Wat is veilige klantverificatie (SCA)

Op zoek naar inwebo.com? Dan ben je hier op de juiste plek! Lees er alles over in onze blogpost

Kom en bezoek ons persoonlijk op de komende branchebeurzen en conferenties

Inhoud

Wat is Secure Customer Authentication (SCA), wat is het verschil met 2FA en hoe werkt het?

Elke dag worden bedrijven het slachtoffer van een ransomware-aanval of een inbreuk op hun beveiliging. Deze incidenten schaden niet alleen de reputatie van deze organisaties, cyberaanvallen kunnen ook een verstoring van hun bedrijf veroorzaken, leiden tot boetes vanwege regelgeving en bedrijven simpelweg afleiden van hun kernactiviteiten. De meeste van deze account takeover (ATO)-aanvallen worden geïnitieerd door inloggegevens te stelen via phishing, databases op het donkere web of social engineering. Deze kunnen eenvoudig worden voorkomen door Secure Customer Authentication (SCA) toe te passen. In dit artikel leggen we uit wat twee-factor authenticatie is, hoe het werkt en hoe je het kunt implementeren. En we maken een vergelijking tussen 2FA en SCA.

man-laptop-smartphone

Wat is twee-factor authenticatie?

Twee-factor authenticatie (2FA) is een beveiligingsmaatregel die een extra beschermingslaag biedt voor online accounts en gevoelige informatie. Hierbij worden twee verschillende factoren gebruikt om de identiteit van een gebruiker te verifiëren. De eerste factor is meestal iets dat de gebruiker weet of is, zoals een wachtwoord of PIN (de gebruiker weet het) of een vingerafdruk of gezichtsidentificatie (de gebruiker is het). De tweede factor is iets dat de gebruiker bezit, zoals een mobiel apparaat of een beveiligingstoken, dat een eenmalig wachtwoord genereert (OTP). Om te authenticeren moet de gebruiker beide factoren opgeven, wat een extra hindernis vormt voor ongeautoriseerde toegang. Tweefactorauthenticatie verbetert de beveiliging aanzienlijk door gebruikers te dwingen beide beveiligingselementen in te voeren, waardoor de risico's van wachtwoordschendingen worden beperkt en het moeilijker wordt voor kwaadwillenden om ongeautoriseerde toegang te krijgen tot persoonlijke of gevoelige gegevens. Als gevolg hiervan kunnen accounts met wachtwoorden die op het dark web zijn gevonden niet langer worden gebruikt.

Waarom hebben we een extra beveiligingslaag nodig voor gebruikersauthenticatie?

Cybercriminaliteit evolueert voortdurend en wordt steeds geraffineerder, net als de gevolgen van cyberaanvallen. Uit een recent rapport blijkt dat "de kosten van datalekken voor bedrijven gestaag toenemen, omdat veranderingen op de werkplek en geavanceerdere indringingsmethoden cybercriminelen aanmoedigen. In 2022 kost een datalek bedrijven gemiddeld 4,35 miljoen dollar - tegenover 4,24 miljoen dollar in 2021."

Daarom moeten de methoden om te voorkomen dat cybercriminelen geld en gegevens stelen en/of compromitteren ook evolueren. Ooit was een eenvoudig wachtwoord voldoende om een online account effectief te beveiligen. Dat is nu niet meer het geval. Je zult gemerkt hebben dat zelfs accounts die alleen Single-factor authenticatie (SFA) gebruiken, vereisen dat wachtwoorden een minimum aantal letters, cijfers en tekens bevatten. En als ze zelfs dat niet doen, blijf dan weg!

Vaak wordt gebruikers aangeraden om wachtwoordmanagers te gebruiken, die complexe wachtwoorden voor gebruikers kunnen genereren en opslaan. Hoewel dergelijke tools handig zijn voor gebruikers, gebruiken ze nog steeds SFA met al hun stromen in hun aanmeldmechanismen. Bovendien worden deze wachtwoordmanagers honeypots voor hackers en zijn ze in het verleden meerdere keren gekraakt.

Omdat wachtwoorden nu zo veel gemakkelijker toegankelijk zijn voor cybercriminelen, is het zinvol om een tweede manier te vereisen om te controleren of de persoon met het wachtwoord echt is wie hij beweert te zijn. 2FA vereist effectief een tweede, willekeurig aangemaakt wachtwoord, een eenmalig wachtwoord (OTP) om de beveiliging van een account te versterken.

Hoe werkt 2FA?

Authenticatie met twee factoren gebruikt een combinatie van twee identifiers. De eerste factor kan een wachtwoord, een pincode of biometrische gegevens zoals de vingerafdruk op je mobiele apparaat zijn. De tweede factor is een wachtwoord dat een beperkte tijd geldig is en maar één keer gebruikt kan worden (vandaar OTP of One-Time Password). Deze OTP wordt aangemaakt uit een uniek geheim, gekoppeld aan de gebruiker, en een dynamische gebeurtenis zoals tijd (TOTP) of een (gehasht) nummer (HOTP). Zowel de server als de client beschikken over deze informatie en gebruiken een algoritme om een getal te genereren dat wordt ingevoerd in het veld OTP . (Daarom wordt deze methode symmetrische encryptie genoemd.) Als het door de server gegenereerde nummer en het door de gebruiker ingevoerde nummer overeenkomen, wordt toegang verleend. Er zijn verschillende manieren waarop de tweede factor aan de eindgebruiker kan worden geleverd, sommige veiliger dan andere.

Welke factoren kunnen gebruikt worden voor 2FA?

  • SMS of e-mail OTP: Je mobiele telefoon als tweede factor gebruiken heeft een aantal voordelen, zoals een grotere draagbaarheid en mobiliteit. Mobiele apparaten zijn zeer draagbaar en worden door gebruikers bijna overal mee naartoe genomen. Deze draagbaarheid maakt ze een handig platform voor het implementeren van 2FA. Gebruikers kunnen vanaf vrijwel elke locatie toegang krijgen tot hun accounts en het verificatieproces voltooien, wat een extra beveiligingslaag toevoegt, zelfs wanneer ze gebruik maken van niet-vertrouwde netwerken of apparaten. De eerste factor kan de pincode van de telefoon zelf zijn, hoewel dit niet aan te raden is omdat de dienst niet kan controleren of de gebruiker een pincode op zijn telefoon gebruikt, en soms kan de sms gelezen worden vanaf het beginscherm. De tweede Factor (het Eenmalige Wachtwoord) wordt door de server gegenereerd en vervolgens naar een telefoon of e-mailadres van de gebruiker gestuurd. De code moet dan handmatig worden ingevoerd door de gebruiker. Het gebruik ervan wordt steeds minder populair omdat deze dragers (SMS of e-mail) relatief gemakkelijk te hacken zijn door SIM-swapping of het onderscheppen van de onversleutelde berichten en vertragingen in de aflevering belemmeren de gebruikerservaring. Voor SMS zijn de kosten van het constant versturen van SMS'jes totaal onvoorspelbaar.
  •  
  • Voice OTP's en telefoon call-backs: dit zijn geautomatiseerde telefoon call-backs. Een gebruiker krijgt een automatisch telefoontje als hij probeert in te loggen. Dit zal hen vragen om de inlogpoging goed te keuren of te weigeren of hen een eenmalige wachtwoordcode geven om in te voeren. De problemen met deze methode zijn vergelijkbaar met SMS OTP, en met social engineering in opkomst openen deze methoden extra mogelijkheden voor hackers.
  •  
  • Authenticator-apps/softwaretokens: gebruikers kunnen speciale authenticator-apps downloaden en gebruiken voor aanmeldingsgoedkeuringsaanvragen. De gebruiker moet dan de authenticator-app koppelen aan de applicatie (meestal door een QR-code te scannen), waardoor een uniek geheim wordt gecreëerd en gedeeld tussen de gebruiker en de server. Het heeft alle voordelen van SMS OTP, maar de OTP wordt aan de clientzijde gegenereerd en is dus betrouwbaarder dan SMS. De app zelf kan worden beveiligd met een pincode of met de biometrische gegevens van het apparaat, waardoor het handiger is om de OTP te ontvangen. Deze methode wordt steeds populairder vanwege de lage kosten voor applicatieproviders (in vergelijking met OTP SMS), maar soms is het vervelend voor gebruikers om de juiste service te vinden binnen de authenticatietoepassing, vooral als je meerdere accounts beveiligd hebt. Ook overdracht en herstel kan omslachtig zijn, omdat het beter is om de geheimen niet op een ander platform op te slaan. Hackers maken gebruik van deze maas in de wet en kwaadaardige authenticator-apps komen steeds vaker voor. Ze proberen gebruikersgegevens en geheime codes te lokken en te stelen die nodig zijn om de OTP's te genereren. Door de symmetrische encryptie kunnen deze gemakkelijk worden gekopieerd en gebruikt, zonder dat de gebruiker zich daarvan bewust is.
  •  
  • Hardware tokens: dit zijn bijvoorbeeld sleutelhangers of USB-apparaten die OTP's genereren. Dit is een veiligere manier om OTP's te genereren, omdat het geheim aan de cliëntkant binnen een gehard beveiligingselement zit. Helaas kunnen de tokens natuurlijk verloren gaan, vergeten worden, kapot gaan, zonder batterijen komen te zitten, enzovoort. Ze kunnen frustrerend zijn voor de gebruiker om te gebruiken en duur voor een bedrijf om te produceren en te vervangen.

2FA implementeren voor extra beveiliging

Twee-factor authenticatie kan worden gebruikt in combinaties die passen bij de situatie, het bedrijf, de gebruiker, enzovoort. Wat voor het ene systeem de beste optie is, werkt misschien niet goed voor het andere, dus de implementatie van 2FA moet per geval worden bekeken. Sommige bedrijven geven de voorkeur aan hun eigen authenticatie-apps: andere zijn misschien beter af met een oplossing van een derde partij.

Er moet rekening worden gehouden met de gebruikerservaring: te langdradige of ingewikkelde opties zullen frustratie veroorzaken en gebruikers van zich vervreemden. Niemand wil dat overbelaste medewerkers of potentiële klanten hun aanmeldpogingen staken ten gunste van concurrenten met klantvriendelijkere processen.

Aan de andere kant zal een robuust beveiligingssysteem dat relatief eenvoudig te navigeren is gebruikers geruststellen dat hun gegevens in veilige handen zijn en helpen bij het creëren van een grotere merk- of bedrijfsloyaliteit.

Twee-factor authenticatie helpt gebruikers meer controle te krijgen over de beveiliging van hun account

Hackers gaan meestal voor het laaghangende fruit. Het toevoegen van een tweede factor, die dynamisch verandert, vereist duurdere hacktechnieken. Accounts die dit hebben zijn minder gevoelig voor aanvallen. Als de waarde van het doelwit echter toeneemt (bijv. als de gebruiker voor een interessant bedrijf werkt, de service geldwaarde heeft of het slachtoffer rijk genoeg is om afpersing via ransomware of chantage voordelig te laten zijn), zullen hackers extra moeite doen in hun pogingen door te vertrouwen op phishing of social engineering. In dit geval proberen ze het doelwit te verleiden om hen de OTP te geven die de tweede factor genereert. Meestal laten ze hen dit eenmalige wachtwoord invoeren op een valse website of vertellen ze het aan een valse helpdeskmedewerker, zodat de hacker het kan gebruiken op de echte website.

Om dit te voorkomen zijn er geavanceerde technieken ontwikkeld, die hebben geleid tot Multifactor Authenticatie (MFA).

2FA is goed, maar MFA is beter

Hoewel 2FA al een goede stap voorwaarts is om gebruikers te beveiligen die toegang willen tot applicaties of gegevens, is het nog geen faalveilige oplossing. Bij TrustBuilder raden we aan om multifactor authenticatie (MFA) te gebruiken (ook SCA Secure Customer Authentication genoemd in consumentenscenario's) om de volgende redenen:

  • Verbeterde beveiliging: MFA voegt extra beveiligingslagen toe in vergelijking met 2FA. Terwijl 2FA gebaseerd is op twee factoren (meestal een wachtwoord en een verificatiecode), kan MFA extra factoren bevatten zoals
     
    • gedrag (waar u meestal inlogt, hoe u typt, uw apparaat vasthoudt...)
    • apparaatbinding met asymmetrische sleutels (ervoor zorgen dat het geheim aan een bepaald apparaat is gekoppeld en alleen op dat specifieke apparaat kan worden gebruikt)
    • Out-of-Band versleutelde communicatie
    • Uitdaging/Respons met QR-codes die een extra element toevoegen aan het geheim dat wordt gebruikt om de OTP te genereren, zodat de server in de OTP weet dat het oorspronkelijke verzoek afkomstig is van deze server.
    • Continuous Adaptive Trust (CAT) beoordeelt voortdurend het risico dat een sessie wordt gehackt en evalueert de verbinding adaptief...

    Deze meerlaagse aanpak maakt het voor onbevoegden aanzienlijk moeilijker om toegang te krijgen tot een account of systeem, omdat ze meerdere beveiligingsmaatregelen moeten omzeilen.

  • Pushmeldingen: een inlogpoging leidt tot een geautomatiseerd bericht, bijvoorbeeld om de accounthouder te waarschuwen. Dit kan worden ingesteld voor elke inlogpoging of alleen wanneer ongebruikelijke activiteit wordt gedetecteerd. De gebruiker kan al dan niet verplicht worden om iets te doen. Het kan extra informatie over de transactie bevatten, zodat de gebruiker weet wat hij doet en vanaf welk apparaat. Deze methode (What You See Is What You Sign of WYSIWYS), maakt de gebruiker bewust van het proces en is een goede tegenmaatregel tegen Man-In-the-Middle (MITM), of Man-In-the-Browser (MITB) aanvallen, waarbij hackers social engineering, phishing en DNS relay aanvallen gebruiken om de gebruiker ervan te overtuigen dat ze op de echte website komen in plaats van op een valse.
  • Grotere weerbaarheid tegen aanvallen: MFA vermindert de risico's die gepaard gaan met verschillende soorten aanvallen, waaronder phishing, keylogging en credential stuffing. Zelfs als een aanvaller erin slaagt om het wachtwoord van een gebruiker te achterhalen via een van deze methoden, zou hij nog steeds geen toegang kunnen krijgen zonder de extra factor die vereist is door MFA. Dit maakt het aanzienlijk moeilijker voor aanvallers om accounts of systemen te compromitteren.
  • Gebruikersgemak: Zodra de initiële instelling is voltooid, worden de extra factoren die worden gebruikt in MFA geautomatiseerd of naadloos geïntegreerd in het authenticatieproces. Een goede MFA oplossing beoordeelt automatisch de risico's in een verbinding en beperkt het aantal interacties dat de gebruiker moet doen. Dit vermindert de last van het constant invoeren van verificatiecodes, waardoor de algehele gebruikerservaring soepeler en efficiënter wordt.
  • Naleving van regelgeving: MFA is vaak een vereiste voor naleving van verschillende industriële voorschriften en normen voor gegevensbescherming. Organisaties die gevoelige gegevens verwerken, zoals financiële instellingen of zorgverleners, zijn meestal verplicht om krachtige beveiligingsmaatregelen te implementeren. MFA biedt een robuust mechanisme om aan deze nalevingseisen te voldoen en helpt gevoelige informatie te beschermen tegen ongeautoriseerde toegang.
  • Toekomstbestendige beveiliging: Naarmate de technologie voortschrijdt, ontstaan er nieuwe kwetsbaarheden en aanvalsvectoren. MFA biedt betere toekomstbestendigheid in vergelijking met 2FA. Dankzij de mogelijkheid om meerdere verificatiefactoren te integreren, kunnen organisaties zich aanpassen aan veranderende bedreigingen en veiligere verificatiemethoden gebruiken zodra deze beschikbaar zijn. Dit zorgt ervoor dat beveiligingsmaatregelen effectief en up-to-date blijven, zelfs als het bedreigingslandschap zich blijft ontwikkelen.

Deze redenen benadrukken samen de voordelen van MFA ten opzichte van 2FA, met de nadruk op de sterkere beveiliging, veerkracht tegen aanvallen, gebruikersgemak, naleving van regelgeving en het vermogen om zich aan te passen aan toekomstige beveiligingsbehoeften.

Waarom TrustBuilder's MFA oplossing gebruiken?

Als je 2FA vergelijkt met MFA, is het duidelijk dat MFA 2FA overtroeft. Maar op het gebied van multifactor authenticatie oplossingen zijn er veel verschillen tussen de beschikbare oplossingen. Tussen de vele aanbieders op de markt, komt TrustBuilder's MFA oplossing naar voren als een uitstekende keuze voor organisaties die hun beveiliging willen versterken. Hier zijn enkele van de redenen waarom TrustBuilder's MFA oplossing de beste optie is voor organisaties om zichzelf te beschermen tegen hackers en cyberaanvallen.

  • Ongeëvenaarde veiligheid: TrustBuilder's MFA oplossing biedt een zeer veilig authenticatiemechanisme dat verder gaat dan traditionele gebruikersnaam-wachtwoord combinaties. Door meerdere factoren te integreren, zoals eenmalige wachtwoorden, biometrie, smartcards en meer, zorgt het voor een extra beschermingslaag. Deze veelzijdige aanpak vermindert het risico op ongeautoriseerde toegang aanzienlijk en versterkt de algehele beveiliging van organisaties.
  • Naadloze gebruikerservaring: Hoewel beveiliging van het grootste belang is, is een naadloze gebruikerservaring ook essentieel voor een succesvolle toepassing van elke beveiligingsoplossing. TrustBuilder begrijpt deze behoefte en biedt een MFA oplossing die gemak biedt zonder afbreuk te doen aan de beveiliging. Met een gebruiksvriendelijke interface en ondersteuning voor verschillende authenticatiemethoden, waaronder mobiele apps, browser authenticatie, desktop app, evenals ondersteuning voor authenticatiemethoden van derden, waardoor Bring Your Own Authenticator (BYOA) mogelijk is, zorgt TrustBuilder voor een probleemloze authenticatie-ervaring voor eindgebruikers.
  • Schaalbaarheid en flexibiliteit: TrustBuilder's MFA oplossing is ontworpen om te voldoen aan de veranderende behoeften van organisaties van elke omvang. Of het nu gaat om een kleine startup of een multinational, TrustBuilder kan schalen om tegemoet te komen aan groeiende gebruikersbestanden en uitbreidende infrastructuren. De oplossing integreert naadloos met bestaande systemen, inclusief cloud services en legacy applicaties, waardoor het zeer aanpasbaar en compatibel is.
  • Geavanceerde analyses en op risico gebaseerde verificatie: TrustBuilder's MFA oplossing bevat geavanceerde analyses en op risico gebaseerde verificatie, waardoor organisaties verificatie-eisen dynamisch kunnen aanpassen op basis van risiconiveaus. Door contextuele factoren zoals gebruikerslocatie, apparaatinformatie en gedragspatronen te analyseren, stelt TrustBuilder's oplossing organisaties in staat om potentiële bedreigingen proactief te detecteren en te voorkomen, waardoor de risico's van cyberaanvallen effectief worden beperkt.

Je organisatie aan de juiste kant van de beveiliging houden is de taak van iedereen die betrokken is bij het voorkomen van cyberaanvallen. De oplossing MFA van TrustBuilder is een goede manier om hekken op te zetten die cybercriminelen buiten houden.

Neem contact met ons op voor een demo of probeer MFA gratis.