Tweestapsverificatie is een van de beste manieren om een account te beveiligen tegen ongewenste indringers. Je kent vrijwel zeker de methode via sms, maar er zijn meer soorten. We nemen ze in dit artikel eens onder de loep. Want accounts beveiligen is nu eenmaal nodig.

Tweestapsverificatie of tweefactorauthenticatie (afgekort 2FA), is een ingewikkelde term voor het gebruik van een extra wachtwoord of ‘token’ boven op je gebruikersnaam en wachtwoord. Die extra code ontvang je via een sms, app of een speciaal stuk hardware. Het is een bijzonder goede beveiligingsmethode voor de meeste accounts waar je moet inloggen.

In tegenstelling tot een gebruikersnaam en wachtwoord is een 2FA-token (meestal) tijdelijk. Er zijn daarom geen databases vol met inlogcodes. Aanvallers moeten ze direct weten te onderscheppen, anders verlopen ze. Bovendien is het lastig zowel een wachtwoord als 2FA-token te achterhalen. Niet onmogelijk, maar doorgaans te moeilijk voor een grootschalige aanval. Dat maakt tweestapsverificatie juist zo veilig.

Het idee om een extra authenticatiestap toe te voegen aan het inlogproces is verre van nieuw, en een explosief groeiend aantal online diensten biedt wel een of andere vorm van 2FA aan. En hoewel ook tweestapsverificatie niet onfeilbaar is, is het voor de doorsnee gebruiker een erg goede methode om accounts te beveiligen. Toch blijft het gebruik ervan flink achter.

Grote spelers zoals Google proberen het proces al jaren makkelijker en toegankelijker te maken, maar zelfs dan willen gebruikers nog niet aan de 2FA. In januari vertelde Google dat minder dan tien procent van de 1,4 miljard gebruikers tweestapsverificatie had ingesteld op zijn of haar account.

One-time-passwords

Bij tweestapsverificatie wordt gebruikgemaakt van ‘One Time Passwords’, OTP’s. Daar zijn twee varianten van: HOTP (HMAC-based One Time Passwords, waarbij HMAC weer staat voor Hash-based Message Authentication Code) en TOTP (Time-based One-Time Passwords). HOTP’s zijn wachtwoorden die eenmalig worden aangemaakt en langer blijven bestaan. Deze methode wordt gebruikt voor wachtwoorden die per sms of e-mail worden verstuurd, of die met een fysieke hardwaretoken zoals een Yubikey worden aangemaakt.

De methode heeft als voordeel dat je het langer kunt gebruiken, wat weer handig is als je lang moet wachten voor een sms binnen is. TOTP’s (Time-based One Time Passwords) zijn wachtwoorden die een beperkte tijd beschikbaar zijn. Dat is de standaard die gebruikt wordt in apps zoals Google Authenticator. Die wachtwoorden zijn slechts beperkt te gebruiken, wat ze een stuk veiliger maakt tegen ‘brute force’-aanvallen.

©PXimport

Een one-time-password wordt gegenereerd op basis van een unieke privésleutel die je krijgt als je 2FA instelt. Meestal is dat in de vorm van een QR-code die je scant, maar je kunt de ‘key’ ook vaak handmatig opgeven. Die privésleutel wordt vervolgens via een algoritme omgezet in een unieke ‘hashcode’. Bij een Time-Based OTP is dat algoritme gebaseerd op een tijdstempel van de server waar je verbinding mee maakt. Deze ‘time stamp’ wordt gemaakt op het moment dat je 2FA instelt.

Verschillende authenticatiemethodes

Er zijn inmiddels veel verschillende manieren om tweestapsverificatie te gebruiken, allemaal met hun eigen voor- en nadelen. De bekendste manier is waarschijnlijk sms, maar dat is gelijk ook een vreemde eend in de bijt. Sms is handig, maar ook onveilig om meerdere redenen – daarover later meer.

Je kunt authenticatiecodes ook via e-mail ontvangen, maar ook dat is niet erg veilig. Je brengt 2FA dan namelijk terug naar een zogeheten ‘single point of failure’, waarbij iemand met toegang tot je e-mailaccount gelijk toegang tot andere accounts heeft. In dat geval voegt 2FA niets toe. Toch is het bij diensten als Firefox Sync alleen nog mogelijk e-mailverificatie te gebruiken.

Een populaire én relatief veilige methode is om een app te gebruiken. Google heeft met Authenticator een van de bekendste, maar er zijn er meer. Microsoft heeft Microsoft Authenticator, en hoewel die veel minder gedownload is, is het aan te raden deze dienst te gebruiken als je een Windows Phone hebt.

Als je vaak van telefoon wisselt kan het vervelend zijn om alle codes opnieuw te scannen, en in dat geval is Authy de beste optie: die app kan de privésleutels opslaan in de cloud, zodat je de hashcode die daarop gebaseerd wordt ook op een nieuwe telefoon kunt instellen. Maar ook daar zit natuurlijk weer een risico aan: je moet je Authy-account dan wel erg veilig houden.

De veiligste (maar ook duurste) manier om tweefactorauthenticatie in te schakelen is het gebruik van een hardwaretoken. Dat zijn fysieke sleutels, zoals een usb-stick, die offline een code genereren op een klein scherm of die je via usb kunt gebruiken om een code door te geven. Op die manier kan de code niet via bijvoorbeeld een hack onderschept worden. De Yubikey is de bekendste versie van zo’n apparaat.

©PXimport

Een handjevol diensten biedt een eigen, alternatieve methode van tweestapsverificatie aan of geeft daar zijn eigen draai aan. Google is een goed voorbeeld. Het bedrijf biedt al sinds jaren tweestapsverificatie aan via sms en natuurlijk Googles eigen Authenticator-app, maar je kunt ook kiezen voor een pop-up via de Google-app op je telefoon. Die verschijnt meteen zodra je ergens inlogt, zodat je alleen maar op ‘Ja’ hoeft te tikken om te authenticeren.

Een andere dienst die 2FA tot slot heel goed implementeert is WhatsApp. Als je die functie hebt ingeschakeld, vraagt de app om een zescijferige pincode wanneer je WhatsApp op een nieuw apparaat installeert. Maar omdat dat niet vaak gebeurt, is een geheugensteuntje wel handig. Daarom vraagt de applicatie je eenmaal per week de code in te voeren, gewoon om te zorgen dat je die niet vergeet.

Mike Flanagan, die eerder onder andere de Stephen King-verhalen Doctor Sleep en The Life of Chuck verfilmde, gaat zich weer bezighouden met een film gebaseerd op een boek van de horrorschrijver. Ditmaal gaat het om The Mist.

Dat is opvallend, omdat The Mist in 2007 ook al verfilmd werd. Toen was het Frank Darabont die de film regisseerde, nadat hij eerder al naam maakte met Stephen King-verfilmingen The Shawshank Redemption en The Green Mile. De in 2007 uitgekomen verfilming van The Mist viel al goed in de smaak, dus sommige fans vragen zich dan ook af of het verhaal nog een verfilming nodig heeft.

Hoe dan ook is Flanagan tegenwoordig een expert op het gebied van Stephen King-films. Zoals gezegd heeft hij al bewerkingen van verhalen als The Life of Chuck, Doctor Sleep en Gerald's Game geleverd, en werkt hij ook aan een miniserie gebaseerd op Carrie. Daarnaast gaat hij de zevendelige Stephen King-epos The Dark Tower omtoveren tot een serie, al is niet bekend wanneer dat gaat gebeuren.

Over The Mist

Het in 1980 verschenen boek The Mist draait om een mysterieuze mist die een dorpje in zijn ban houdt. De mist maakt mensen niet alleen dood, er zitten ook allerlei monsters in die mist uit een andere dimensie. Overigens kwam tien jaar geleden ook een serie gebaseerd op The Mist uit, maar zonder veel succes. De eerdere verfilming uit 2007 wordt wel gezien als een succesverhaal - in ieder geval op kwalitatief gebied.

Mike Flanagan

Flanagan is overigens niet alleen bekend voor zijn verfilmingen van Stephen King-boeken. Hij heeft ook veel succes met zijn horrorseries op Netflix, waaronder The Haunting of Hill House, The Haunting of Bly Manor, Midnight Mass en The Fall of the House of Usher.

De extraction shooter Arc Raiders is een groot succes: de game is sinds release 30 oktober vorig jaar meer dan 14 miljoen keer verkocht.

Dat heeft uitgever Nexon deze week aangekondigd bij het bekendmaken van de kwartaalcijfers van het bedrijf. In januari was er daarbij een piek van 960.000 gelijktijdige spelers over alle platforms waarneembaar, en sindsdien zijn er zo'n zes miljoen wekelijkse actieve spelers. Arc Raiders heeft wat Nexon betreft dan ook alle verwachtingen overtroffen.

Arc Raiders kwam zoals gezegd afgelopen oktober uit en is ontwikkeld door het in Stockholm gevestigde bedrijf Embark Studios, dat bestaat uit voormalige Battlefield-ontwikkelaars, waronder de voormalige ceo van DICE, Patrick Söderlund. Hiervoor bracht Embark al de shooter The Finals uit.

Over Arc Raiders

Toen Arc Raiders uitkwam, bleek het spel al snel een hit op Steam en consoles. Dit terwijl de markt voor multiplayershooters zeer competitief is, met franchises als Call of Duty en Battlefield waarvan afgelopen najaar ook nieuwe delen zijn uitgekomen.

De game houdt een derdepersoonsaanzicht aan en betreft een extraction shooter. Spelers gaan in Arc Raiders richting de oppervlakte van de aarde, waar buitenaardse robots genaamd Arcs voor chaos zorgen. Spelers proberen hier waardevolle materialen, wapens en medicijnen te vinden - alleen of in teamverband. Andere spelers lopen echter ook rond op het oppervlak en kunnen je team helpen of juist tegenzitten. Het doel is heelhuids weer ondergronds te geraken met de verzamelde spullen.