"2-Factor-watte???" hoor ik nu velen denken.
2-Factor autenticatie betekend niets meer dan dat je een 2e manier van identificeren toevoegd naast een gebruikersnaam/wachtwoord om ergens te kunnen inloggen.
Dit betekend dat je naast eerst je gebruikersnaam en wachtwoord ingetikt hebt je daarna een 2e invul vak krijgt om daar bijvoorbeeld een 6-cijferige pin-code te invullen.
Deze pincode kun je dan ontvangen met een Android/IOS autenticator-apps, of per e-mail. Deze pin-code is dan beperkt geldig en bied een extra stukje beveliging zodat jouw account van bijvoorbeeld facebook of Google veel minder snel gehacked kan worden.
Zo heb ik één van mijn Synology NAS-sen dat direct met het web is verbonden ook met een 2FA beveligd.
Nu is de vraag "hoe kom je dan aan die pin code?". Ikzelf heb hiervoor gekozen voor autenticatie met een hardware sleutel, n.l. een Yubikey van het bedrijf Yubico. De betreffende sleutel die ik heb gekozen lijkt op een USB geheugen stick, maar is dit dus niet.
Bij het aansluiten van deze sleutel gedraagt deze zich als een 'human interface device', het gedraagt zich als een toetsenbord dus.
Fig. 1 (links) toont mijn beide Yubikeys, zoals je kunt zien zijn ze beiden nogal fysiek gehavend, maar werken nog perfect.
Ik heb nog geen enkel gedoe gehad bij het gebruik van deze USB-sleutels. Ook het inloggen op deze site om artikelen te schijven of onderhoud te plegen is met deze beide sleutels extra beveiligd.
Tot op heden (zie datum artikel) is bij mijn weten deze sleutel nog niet gehacked. De tijd zal het leren of het nog gaat gebeuren en wanneer.
Het inloggen op mijn website kan op 2 manieren: de pagina zelf (wat de bezoeker nu ziet) en de back-end waar ik allerlei instellingen kan doen. De bezoeker ziet links onder 2 invul velden en de knoppen "Web autenticatie" en "inloggen".
Ik hoef dan alleen het veld "gebruikersnaam" in te vullen, één van mijn Yubikeys aan te sluiten en de aanwijzingen volgen op het scherm. Voor de back-end werkt dat exact het zelfde. Het maakt niet uit welke Yubikey ik gebruik, beiden werken.
Deze sleutels genereren bij het aanraken van de gouden 'y' een hele rits karakters (44), 'one time passcode' geheten. De eerste 12 karakters bevat het ID van de gebruikte sleutel, de overige 32 vormen een unike passcode die op dat moment gegenereerd wordt. (voor de techneuten onder ons: uitleg hoe Yubikey met OTP werkt (Engels!))
Ik had het in dit stukje ook over een 6-cijferige pin-code die je moest invullen. Mijn NAS (Synology DS218+) heb ik ook met een 2FA beveiligd, maar dat werkt dan net even iets anders dan bij het inloggen op deze website.
Hier moet ik eerst wel netjes mijn gebruikersnaam en wachtwoord invullen, maar dan vraagt de NAS om een 6 cijferig pin-code.
Ik moet dan mijn sleutel aansluiten op de PC, dan het programma 'Yubico Autenticator' opstarten om dan pas de pin-code te krijgen. De autenticator controleert of de aangesloten sleutel ook op deze NAS is ingesteld en zo ja dan pas krijg je de pin code.
Naast het aansluiten op de PC kan ik met deze sleutels ook een pincode krijgen met een Android app in mijn telefoon. Hiervoor hoef ik met de sleutel alleen even mijn telefoon aan te raken (NFC) om dan alsnog de pincode te krijgen.
Met deze harware sleutel heb ook mijn Facebook, Google en Twitter/X (niet dat ik hier nu heel veel mee doe) extra beveiligd.
Waar ik ook wel mee aan het stoeien ben geweest is het beveiligen van een laptop/PC met deze sleutel. Gewoon om te zien hoe dit nu werkt.
Bij het opstarten van de betreffende computer moet je een gebruikersnaam invullen en een achtwoord. Hierbij dient wel de ingestelde Yubikey aangesloten te zijn voordat de computer daadwerkelijk doorstart.
Tip hierbij is dan wel om voor de reboot de sleutels met het programma in te stellen. Het installatie programma vraagt om een reboot, maar dat moet je pas NA aanpassen van de instellignen doen, anders sluit je jezelf uit de betreffende computer, niet handig...
Heb ik hiermee mijn zaakjes perfect beveiligd? Op dit moment denk ik van wel, maar of dit ook zo blijft in de toekomst weet niemand.
Vroeg of laat is er iemand die deze sleutels kan hacken en dan moet je verder actie ondernemen. Maar dit is nu nog niet van toepassing.
De Yubikeys zijn niet de goedkoopsten (die op de foto kosten nu zo'n €50,- ex BTW), maar zijn wel erg goed en slijtvast in mijn ogen.
Uiteraard zijn er ook andere manieren om jouw logins te beveiligen met autenticator apps als Google Autenticator en Microsoft Autenticator.
Een uitgebreide review kun je hieronder bekijken, deze is van Chris Sherwood van Crosstalk Solutions: