Waarom fysieke beveiligingssleutels die paar tientjes echt waard zijn

Fysieke beveiligingssleutels

Hackers worden tegenwoordig steeds slimmer en proberen van alles om je wachtwoorden te achterhalen. Eén manier is phishing en het is lastig om jezelf er tegen te wapenen. Maar een fysieke beveiligingssleutel kan je er gigantisch bij helpen.

Iedereen kan het slachtoffer worden van phishing. Hackers en andere cybercriminelen werpen graag een groot net uit, in de hoop zoveel mogelijk wachtwoorden en andere gevoelige informatie te verzamelen. Die gebruiken ze vervolgens voor hun eigen doeleinden, of ze verkopen ze op het dark web.

Via tweestapsverificatie kun je echter veel problemen voorkomen. Hierbij moet je namelijk niet alleen je wachtwoord invullen bij het inloggen, maar ook een speciale code. Heb je die code niet, dan kom je het account niet in. En dat geldt dus ook voor de hacker.

De beste vorm van tweestapsverificatie werkt echter niet via een code, maar met een fysieke beveiligingssleutel. Dat is een klein apparaatje dat je in je USB-poort kunt steken, of verbinding kunt laten maken via Bluetooth of NFC. Wil je ergens inloggen waar zo’n sleutel ondersteund wordt, dan hoef je hem alleen maar even aan te raken.

Teveel moeite

Opvallend genoeg gebruikt lang niet iedereen tweestapsverificatie. Volgens het Nationaal Cybersecurity Bewustzijnonderzoek van 2017 gebruikt slechts 41 procent van de Nederlandse bevolking tussen de 13 en 80 jaar oud tweestapsverificatie. 21 procent geeft bovendien aan inloggen met tweestapsverificatie een te grote belemmering te vinden.

Ergens is dat ook wel logisch, als je er over nadenkt. Je moet immers eerst inloggen met je wachtwoord, vervolgens een code genereren of ontvangen, de code invoeren en dan pas mag je je account in. Hoewel het een stuk veiliger is, kost het ook veel meer moeite als je alleen maar even wat op Facebook wilde bekijken.

Toch is het zeker wel de moeite waard. Je maakt het cybercriminelen namelijk een stuk moeilijker om in te breken op je account. En hoe moeilijker het is om in te breken, hoe groter de kans dat ze jouw account overslaan en het bij een ander proberen.

SMS is niet heel veilig

Er zijn verschillende vormen van tweestapsverificatie, waarvan je het meerendeel gratis kunt gebruiken. Dus waarom zou je geld uitgeven aan zo’n sleutel, als je ook op andere manieren gebruik kunt maken van tweestapsverificatie? Allereerst: een code via SMS versturen is niet zo veilig meer. Zo werden Reddit-gebruikers onlangs gehackt, doordat de codes via SMS onderschept werden.

Cybercriminelen hoeven je wachtwoord niet eens per se via phishing te onderscheppen. Als een dienst gehackt wordt, kunnen er wachtwoorden gestolen worden. Dit was bijvoorbeeld het geval bij LinkedIn en MySpace, jaren geleden. En maar liefst 40 procent van de Nederlanders hergebruikt zijn wachtwoorden voor verschillende diensten, blijkt uit onderzoek van het ministerie van Justitie en Veiligheid.

Dat is een groot probleem, want als zo’n wachtwoord eenmaal gestolen is, gaan hackers hem zeker ook proberen bij je andere accounts. Mochten ze dan ook nog je SMS’jes onderscheppen, dan beschermt tweestapsverificatie voor die accounts je dus ook niet meer.

Fysieke beveiligingssleutels

Natuurlijk kun je ook een generator gebruiken voor de tweestapsverificatie. Daar zijn diverse apps voor, zoals 1Password en LastPass Authenticator. Je scant een QR-code voor bijvoorbeeld Twitter en vervolgens zie je een inlogcode in de app die iedere 30 seconden wordt ververst. Dit is al een stuk veiliger, omdat het lastiger is om deze codes te onderscheppen.

Fysieke beveiligingssleutel

De meest veilige vorm van tweestapsverificatie is volgens experts echter de fysieke beveiligingssleutel. Logisch, want een fysieke beveiligingssleutel is niet te onderscheppen. Je hebt deze immers zelf in je bezit en alleen als hij gestolen wordt, kan een hacker er wat mee.

De sleutel koppel je namelijk aan je accounts en je moet deze verbinden met je computer of smartphone om een inlogpoging goed te keuren.De online dienst gaat vervolgens controleren of de sleutel inderdaad bij jouw account hoort. De sleutel zelf ziet of jij je wel bij de juiste website of app aanmeldt.

De inlogpoging wordt alleen goedgekeurd als je jouw sleutel met de juiste online dienst verbindt.

Eenvoudiger

De fysieke beveiligingssleutel maakt tweestapsverificatie bovendien een stuk eenvoudiger. In plaats van die code te moeten ontvangen en over te typen, hoef je nu alleen nog maar de sleutel in je computer te steken of te verbinden met je telefoon. Je raakt een bepaald deel even aan en je bent je account in. Dat scheelt veel moeite, waardoor het een stuk aantrekkelijker is.

Om een voorbeeld te geven van de veiligheid er van: Google maakte de sleutels begin 2017 verplicht voor al zijn werknemers. Sindsdien zijn er naar eigen zeggen geen succesvolle phishing-aanvallen meer geweest. Dat is natuurlijk exact wat je wilt.

Wel opletten

Een fysieke beveiligingssleutel is dus een stuk veiliger en maakt tweestapsverificatie ook nog eens veel gebruiksvriendelijker. Toch moet je wel opletten wat je doet.

Laat je de sleutel bijvoorbeeld constant in je laptop zitten, ook als je even naar de WC moet op je werk, dan daalt de beveiliging natuurlijk. Wat weerhoud iemand er immers van om even achter je laptop te gaan zitten en schade aan te richten? Beter is dus om hem na het inloggen weer uit je laptop te halen (en je computer altijd te vergrendelen als je even wegloopt).

Daarnaast kun je zo’n sleutel ook verliezen. Het is dan ook aan te raden om er twee te kopen. Eentje doe je aan je sleutelbos en heb je altijd bij je. De tweede leg je op een veilige plek als back-up. Mocht je de eerste dan verliezen, dan kun je je accounts altijd nog in komen met de tweede.

Fysieke beveiligingssleutels

31 euro

Nu je dit allemaal zo hoort, denk je misschien: “Waarom heeft niet iedereen zo’n beveiligingssleutel?” Daar zijn simpele redenen voor.

Allereerst: de sleutels werken helaas nog niet voor iedere dienst. Twitter, Facebook en Google ondersteunen het wel, maar bijvoorbeeld LinkedIn nog niet. Ook krijgt Microsofts browser Edge pas later dit jaar ondersteuning voor de sleutels, Apple heeft nog helemaal niets gezegd. Je kunt ze dus niet overal gebruiken.

Daarnaast kosten de sleutels geld. Hoewel ze niet heel duur zijn – je hebt al twee sleutels van Yubico voor 31 euro – zullen veel mensen geen geld uit willen geven aan dergelijke vormen van beveiliging. Zeker niet als er gratis alternatieven zijn, ook al zijn die minder veilig.

Koop hem toch maar

Toch raad ik je aan om een beveiligingssleutel te kopen. De belangrijkste reden is dat phishing steeds geavanceerder wordt en iedereen – ook de ‘gewone Nederlander’ – het gevaar loopt er slachtoffer van te worden.

Een beveiligingssleutel maakt je accounts echter een stuk veiliger, voorkomt phishing en maakt tweestapsverificatie veel eenvoudiger. Natuurlijk is de sleutel niet perfect, want niets is perfect. Maar dit is wel het dichtste wat je bij een perfecte oplossing voor een grootschalig probleem kunt komen. En dat is die paar tientjes toch echt wel waard.