Wel goed dat dit nu toegevoegd wordt, al vraag ik me af of een Authenticator app nou veel gaat helpen als 2fa voor een app op dezelfde telefoon... als ze in m’n telefoon kunnen dan kunnen ze beide apps gewoon openen...
Dat is een uitstekende vraag waar ik de laatste tijd veel over na heb gedacht.
Belangrijk vragen om te stellen zijn:
- zijn er afhankelijkheden tussen factoren? (zoals gedeelde master wachtworden)
- wie wil er bescherming? (de gebruiker of de dienstverlener?)
- hoe recover je van rampen? (zoals het verlies van je telefoon)
Iedere keer dat we een beveilingsmiddel toevoegen maken we ook het beheer complexer.
Vroeger hadden de meeste mensen 1 wachtwoord en dat kenden ze van buiten. Tegenwoordig heb je al snel honderden wachtwoorden en gebruik je een password manager om die te beheren.
Die passwordmanagers kunnen een probleem zijn (het hoeft niet) als je ze onhandig combineert met MFA. Zo krijg je bij het populaire TOTP-systeem (aka "google authenticator") een configuratiecode die je zou kunnen opslaan in je password manager zodat je die kan terughalen als dat nodig is, bv omdat je je telefoon met de authenticator app kwijt bent.
Maar als iemand ooit toegang krijgt tot je password manager ben je wel ook de bescherming van de tweede factor kwijt.
Een oplossing is om je password manager ook met 2FA te beveiligen. Dan is de vraag hoe ver je daar in wil gaan. Je kan zeggen dat fysieke toegang tot je apparaat (telefoon) met de passsword manager de eerste factor is en het wachtwoord/pincode/biometrie van je telefoon de 2e factor.
Is iets voor te zeggen maar persoonlijk vind ik het niet genoeg. Mensen lopen de halve dag met hun telefoon in hun hand. Als iemand mij persoonlijk zou willen pakken is het niet moeilijk om de telefoon uit mijn handen te graaien terwijl ik er mee bezig ben.
Ik heb de password manager op mijn telefoon dus nog een extra beveiliging gegeven.
Om dit soort problemen nog kleiner te maken heb ik een tweede password manager speciaal voor backup & recovery doeleinden. De recovery codes voor TOTP staan in die tweede password manger, die ik normaal gesproken nooit unlock.
Ik gebruik biometrie, pincodes, (master)wachtwoorden, hardware tokens (verschillende yubikeys), verschillende soorten digitale sleutels (ssl-certificaten, ssh-keys, etc), fysieke toegang en ouderwets papier in een brandkast. Door die middelen te combineren kan ik steeds het gewenste niveau van beveiliging halen zonder onhandige afhankelijkheden of nepveiligheid, en heb ik toch de mogelijkheid van alle voorstelbare rampen terug te komen, desnoods als ik er zelf niet meer ben.
De laatste beveiligingsfactor is nerderigheid

Ik denk dat ik al mijn masterwachtwoorden en root-keys en pgp-sleutels op mijn voordeur zou kunnen schilderen maar dat geen enkele voorbijganger de kennis heeft om daar iets mee te kunnen. Hier op Tweakers lopen wel wat mensen rond die er wel uit zouden komen, maar uiteindelijk zijn het er niet veel.