Zou 2FA hebben geholpen tegen de Heartbleed-bug?

2 minutes read

Zou 2FA hebben geholpen tegen de Heartbleed-bug?

Het kan eigenlijk niemand zijn ontgaan. De bug Heartbleed, een fout in het versleutelingsprogramma OpenSSL, deed ‘het internet’ op haar grondvesten trillen.

Jarenlang lekte er hoeveelheden data, waaronder inlognamen en wachtwoorden. De vraag is dan: had twee factor-authenticatie hierin geen oplossing kunnen zijn? 

OpenSSL

Twee jaar lang hadden recente versies van de software OpenSSL, een gevoelige plek in beveiligingssoftware die data kon lekken. Die data bestond uit onbruikbare gegevens, maar kon hier en daar ook wachtwoorden en gebruikersnamen lekken. De programmeur die juist bugs wilde corrigeren, liet een lek in de software zitten die juist het dataverkeer tussen server en de website moet beveiligen.

Na de bekendmaking van het lek volgde vele lijstjes van applicaties en websites die men moest voorzien van nieuwe wachtwoorden. Want misschien – niemand weet het heel zeker – lekten er tijdens Heartbleed wachtwoorden en gebruikersnamen.

Weten we dit niet al veel langer

De NSA kreeg direct een beschuldigende vinger dat het twee jaar lang de bug heeft misbruikt om informatie in te winnen. Maar bestond er al die tijd een oplossing voor het probleem? Weten we niet al geruime tijd dat een wachtwoord alleen de digitale veiligheid niet langer garandeert? NRC Handelsblad raadt eenmalige wachtwoorden via SMS aan, ook wel two factor-authentication (2FA).

Wat je hebt en wat je weet

2FA gaat om iets dat je weet en iets dat je hebt of bezit. Het wachtwoord en de gebruikersnaam ken je, voor een One Time Password met SMS (2FA) gebruik je je smartphone. ‘Waarom niet een code generen op je PC?’ Omdat je met 2FA via SMS twee onafhankelijke apparaten hebt die je beide moet gebruiken om toegang te krijgen. Bovendien kan een OTP per SMS maar eenmalig worden gebruikt en is die doorgaans ook slechts enkele minuten lang geldig.

Achterhaald

De Heartbleed-bug bevestigt tevens dat de tijd waarin de combinatie van gebruikersnaam en wachtwoord alleen veilig zijn, definitief voorbij is. Natuurlijk, een OTP per SMS is ook te kraken als een hacker een virus op je telefoon heeft geïnstalleerd. Maar dan moet die nog wel je gebruikersnaam en wachtwoord weten. De combinatie van gebruikersnaam en wachtwoord met 2FA via SMS is daarom de meest veilige methode om je inlogsessies en transacties op internet extra te beveiligen. 

Wil je meer weten over het beveiligen van een online portaal of de beveiliging van transacties? Schrijf je dan in voor de webinar 2FA

Start met OTP




Verder lezen

Vorige SMS-alerts kunnen risico uitval Wifi-netwerk ziekenhuizen opvangen
Volgende Explosieve groei aantal authenticaties DigiD tot 2018
Terug Terug naar nieuwsoverzicht

Interessant? Deel het met je netwerk!

Over de auteur

Erik Eggens

Connect met Erik via

LinkedIn, Twitter.