icon Onderhoud icon Incidenten
mobile-menu mobile-menu
menu

Phishing onderstreept het belang van sterke 2FA

Home » Phishing onderstreept het belang van sterke 2FA
Terug

Phishing onderstreept het belang van sterke 2FA

Sinds 28 april circuleren er phishingmails die specifiek gericht zijn op klanten van BIT. In deze gerichte (spearphishing) berichten worden gebruikers van de BIT Portal gevraagd om via een frauduleuze link in te loggen. Deze e-mails zijn nadrukkelijk niet afkomstig van BIT.

Phishing mails worden aan de lopende band verstuurd, niet alleen aan klanten van BIT. Om de impact van mogelijk misbruik te beperken, adviseren wij om 2FA (TOTP) te activeren op je portalaccount(s). Deze optie is sinds 2018 beschikbaar in de BIT Portal en blijft een effectieve maatregel om accountbeveiliging te versterken.

→ TL;DR

Wat is TOTP en waarom is het relevant

Sinds 2018 ondersteunt de BIT Portal 2FA op basis van TOTP, wat staat voor Time-based One-Time Password. Naast een wachtwoord, iets wat je weet, voegt TOTP een tweede factor toe: iets wat je bezit, doorgaans een authenticator-app op je telefoon.

Zelfs met een sterk, uniek wachtwoord kunnen hackers via phishing of datalekken alsnog toegang krijgen tot je accounts. De kans wordt zelfs nog groter bij het hergebruiken van wachtwoorden. Met 2FA wordt de toegang pas verleend wanneer beide factoren correct zijn, wat de kans op misbruik aanzienlijk verkleind.

Hoe werkt TOTP?

TOTP maakt gebruik van een gedeeld geheim tussen de gebruiker en de dienst. Bij het instellen wordt dit geheim meestal via een QR-code uitgewisseld. Je authenticator-app genereert vervolgens op basis van dit geheim en de actuele tijd een tijdelijke code. Deze code verandert bijvoorbeeld elke 30 seconden.

Waarom TOTP beter is dan SMS

Sommige diensten en websites bieden 2FA via sms. Hoewel dat beter is dan niets, zitten er nadelen aan. SMSjes kunnen vertraagd aankomen en zijn gevoellig voor bijvoorbeeld ‘SIM-swapping’, waarbij een hacker je telefoonnummer overneemt.

TOTP werkt onafhankelijk van het mobiele netwerk en genereert de codes lokaal op het apparaat. Dit maakt het sneller en ook minder gevoelig voor onderschepping.

Aan de slag met TOTP

Het instellen van TOTP voor je BIT Portal-account is binnen een paar minuten geregeld. Je activeert deze optie in de BIT Portal via de instellingen voor wachtwoord en authenticatie. Vervolgens koppel je een authenticator-app door de getoonde QR-code te scannen en de gegenereerde code eenmalig te bevestigen.

Gangbare authenticator-apps zijn onder meer:

  • Authy (handig omdat het back-ups naar hun cloud maakt, wat tevens ook als een nadeel gezien kan worden)
  • Google Authenticator (Android/iOS)
  • Bitwarden Authenticator (geïntegreerd in de wachtwoordmanager)

De keuze voor een specifieke app hangt af van je eigen voorkeuren, bijvoorbeeld rond back-ups en integratie met bestaande tools.

TL;DR

TOTP is momenteel vaak een mogelijkheid voor het verhogen van de beveiliging van accounts waarop je voorheen alleen gebruikersnaam en wachtwoord had. Wat ons betreft is TOTP simpelweg top, en niet zonder reden hebben wij hiervoor gekozen. Het is snel, veilig en gratis. Het is de kleine moeite van het instellen meer dan waard om je digitale (werk)leven te beschermen tegen kwaadwillenden.

Heb jij TOTP al ingesteld op je belangrijkste accounts?

Door: Kristian de Bruijn