Als je een Gmail-account voor je bedrijf gebruikt, is dat account de sleutel tot je hele leven. Je denkt misschien dat tweefactorauthenticatie (2FA) voldoende is om criminelen op afstand te houden, maar op sms gebaseerde 2FA kan eenvoudig worden omzeild.
De problemen met 2FA
Twee-factor-authenticatie is geweldig voor accountbeveiliging. In plaats van alleen om een wachtwoord te vragen, stuurt een 2FA-account u een code via sms of via een authenticatie-app naar uw telefoon, die u moet invoeren om te bevestigen dat u het bent. Dat is fijn, want als je wachtwoord wordt gestolen, heeft de aanvaller nog steeds fysieke toegang tot je telefoon nodig.
Tenminste, zo zou het moeten werken, maar er is één belangrijk voorbehoud: zelfs met 2FA op basis van authenticator-apps (die geen sms gebruiken) functioneert je telefoonnummer nog steeds als het herstelapparaat op je account. Niet je telefoon, maar je telefoonnummer. Dit betekent dat als iemand de controle over uw nummer overneemt, deze nu toegang heeft tot uw account.
Dit is niet alleen hypothetisch, het is ongelooflijk eenvoudig om iemands telefoonnummer te stelen. Toen ik een upgrade naar een nieuwe telefoon in een Verizon-winkel uitvoerde, vroegen ze maar om twee dingen: mijn telefoonnummer en mijn verjaardag, die beide openbaar beschikbaar zijn (hoewel je verjaardag over het algemeen niet zou moeten zijn). Ze hebben mijn identiteitsbewijs niet genomen, ze hebben niet geverifieerd dat ik de rekeninghouder was, ze hadden mijn oude telefoon niet nodig en ze hebben mijn creditcard niet gecontroleerd. Ze gaven me gewoon een nieuwe simkaart met mijn telefoonnummer eraan gekoppeld, en ik was de deur uit. Maar het had gemakkelijk het nummer van iemand anders kunnen zijn, en het had ook het jouwe kunnen zijn.
Erger is dat een hacker bij deze aanval je wachtwoord niet eens nodig heeft, omdat het wachtwoord van standaard Gmail-accounts kan worden gereset met alleen je telefoonnummer. De oplossing voor dit probleem is om de telefoon helemaal uit te schakelen en de controle over uw account niet te verwedden op de luiheid van de winkelmedewerkers van Verizon.
Geavanceerde beveiliging van Google
Twee-factor-authenticatie wordt het meest gebruikt met een telefoon, omdat iedereen er altijd een in de buurt heeft. Maar ze zijn niet het enige apparaat dat u kunt gebruiken.
Dit zijn de Titan-beveiligingssleutels van Google. Het zijn sleutelhangers die functioneren als een apparaat met twee factoren; je kunt ze zien als sleutels van je auto, behalve dat ze nodig zijn om in te loggen op je Gmail-account.
Deze sleutels kunnen niet worden gestolen (afgezien van iemand die je zakkenrolleert), en ze kunnen niet worden gephishing, omdat ze werken op echte fysieke toegang. Deze authenticatiemethode wordt gewoonlijk Universal Two Factor of U2F genoemd. Titan-sleutels zijn ook niet de enige sleutel die u kunt krijgen, er is een standaard genaamd FIDO die bepa alt hoe ze moeten werken, en er zijn er veel op de markt.
Je kunt deze sleutels gebruiken als een drop-in vervanging voor SMS 2FA, maar ze kunnen het beste worden gebruikt in combinatie met het geavanceerde beveiligingsprogramma van Google. Geavanceerde bescherming vereist dat je deze sleutel gebruikt, en het vergrendelt Accountherstel als een veel moeizamer proces, wat betekent dat niemand de 2FA en het wachtwoord van je account kan omzeilen door je telefoonnummer te stelen (wat het grootste probleem is bij reguliere authenticatie).
Het belangrijkste voorbehoud is dat ze je account behoorlijk zullen vergrendelen. U kunt bepaalde apps van derden die toegang tot uw gegevens vereisen niet gebruiken, en u zult Chrome of Firefox moeten gebruiken om toegang te krijgen tot uw aangemelde Google-services, hoewel mobiele Chrome prima zal werken.
Geavanceerde beveiliging inschakelen
Ten eerste heb je een aantal beveiligingssleutels nodig. Hoewel u elke sleutelhanger kunt gebruiken die FIDO-compatibel is, raden we de Titan-sleutels van Google aan, omdat deze het beste integreren met hun services en officieel worden ondersteund.
De Titan-sleutels zijn $ 50 voor het paar. U krijgt één Bluetooth-sleutel, uw primaire sleutel, en een die eruitziet als een flashstation, uw back-upsleutel voor het geval u de eerste verliest. Bewaar deze zeker op aparte plaatsen.
Je moet wachten tot ze zijn verzonden, maar zodra ze zijn aangekomen, kun je je inschrijven voor geavanceerde beveiliging door beide sleutels te koppelen.
Daarna word je uitgelogd op alle apparaten, je hebt keyfob-toegang nodig om weer in te loggen, en je account is nu zo veilig als een Google-account kan zijn.
Voor G Suite liggen de zaken wat gecompliceerder. Uw G Suite-beheerdersaccount (dat moet eindigen op uw domeinnaam) kan momenteel de geavanceerde beveiliging die beschikbaar is voor gewone Google-accounts niet inschakelen, maar u kunt nog steeds uw Titan-sleutel gebruiken om autorisatie van de sleutelhanger in te schakelen.
Het belangrijkste om op te merken is dat dit je niet de uitgebreide herstelbescherming biedt die wordt geboden aan gebruikers van Geavanceerde bescherming. U kunt dit eenvoudig omzeilen door uw telefoonnummer uit uw herstelopties te verwijderen, omdat dit niet nodig is. Zorg ervoor dat u een back-up-e-mailadres opgeeft (dit kan uw normale Gmail-account zijn), voor het geval u uw wachtwoord vergeet. Bovendien wordt herstel sowieso automatisch uitgeschakeld als uw G Suite-domein meer dan 3 beheerders of meer dan 500 gebruikers heeft, om aanvallen op grote bedrijven te voorkomen.
Bovendien kunt u geavanceerde beveiliging afdwingen voor alle gebruikers onder uw G Suite. Dit dwingt hen om hun eigen sleutelhangers te gebruiken en sluit op sms gebaseerd accountherstel uit. Houd er rekening mee dat dit alleen voor werknemersaccounts is en niet voor uw beheerdersaccount, omdat dit zijn eigen instellingen nodig heeft.
