Wat is een eenmalig wachtwoord (OTP)?
Een eenmalig wachtwoord of OTP (one-time password) is een reeks tekens of cijfers om een gebruiker te authenticeren voor één inlogpoging of transactie. Een algoritme genereert een unieke waarde voor elk eenmalig wachtwoord op basis van contextuele informatie, zoals tijdgebaseerde data of eerdere aanmeldingen.
Technische supportteams wijzen OTP's meestal toe aan mensen die hun inloggegevens voor een account of website kwijt zijn of wanneer iets extra beschermd moet worden tegen ongewenste toegangspogingen. OTP's kunnen ook een tweede authenticatielaag toevoegen waar een niet-geverifieerde gebruiker doorheen moet om toegang te krijgen tot een account.
Bij de authenticatie van gebruikers zijn drie onafhankelijke factoren van belang:
- Kennis. Dingen die de gebruiker weet, zoals een wachtwoord, pincode of antwoord op een beveiligingsvraag.
- Bezit. Dingen die de gebruiker heeft, zoals een token, creditcard of telefoon.
- Biometrie. Dingen die de gebruiker uniek identificeren, zoals vingerafdrukken of gedragsdata.
Behalve wachtwoorden distribueren security teams vaak ook bezitsfactoren zoals OTP's die gebruikmaken van tokens en meldingen op de telefoon. Dat zijn dingen die de gebruiker waarschijnlijk al heeft.
Voordelen van eenmalige wachtwoorden of OTP's
U weet nu wat OTP's zijn. Maar hoe houden deze organisaties veilig?
- Verhinderen replay-aanvallen: Authenticatie met OTP's heeft enkele belangrijke voordelen in vergelijking met het gebruik van alleen statische wachtwoorden. In tegenstelling tot traditionele wachtwoorden kunnen OTP's niet worden gebruikt in replay-aanvallen, waarbij een hacker een reeks overgedragen data onderschept (bijvoorbeeld wanneer een gebruiker een wachtwoord invoert), die reeks vastlegt en vervolgens opnieuw gebruikt om zelf toegang te krijgen tot het systeem of het account. Wanneer een gebruiker een OTP gebruikt om toegang te krijgen tot een account, wordt de code daarna meteen ongeldig en kan deze niet opnieuw worden gebruikt door aanvallers.
- Moeilijk te raden: OTP's worden vaak gegeneerd met algoritmes die willekeurige reeksen produceren. Dat maakt het moeilijk voor aanvallers om een wachtwoord te raden en te gebruiken. OTP's zijn vaak slechts een korte tijd geldig, ze kunnen vereisen dat de gebruiker een vorig wachtwoord kent of ze kunnen de gebruiker een opdracht laten uitvoeren (bijvoorbeeld "voer het tweede en vijfde cijfer in"). Al deze maatregelen beperken de aanvalsmogelijkheden voor een omgeving nog verder dan wanneer alleen een wachtwoord wordt gebruikt voor de authenticatie.
- Minder risico wanneer wachtwoorden worden gehackt: Gebruikers die slordig omgaan met security, gebruiken vaak dezelfde inloggegevens voor verschillende accounts. Als deze inloggegevens worden gehackt of op een andere manier in de verkeerde handen vallen, kan dit tot diefstal van data en fraude leiden. OTP's helpen een inbreuk te voorkomen, zelfs als een aanvaller over een geldige set inloggegevens beschikt.
- Eenvoudige adoptie: Eenmalige wachtwoorden kunnen door organisaties ook eenvoudig worden geïntegreerd in hun authenticatiestrategie. Voor mensen zijn deze cryptische codes lastig te onthouden, maar het is voor security teams geen probleem om telefoons, tokens en andere technologieën te gebruiken en te distribueren naar hun medewerkers.
Welke typen OTP's zijn er?
OTP-authenticatie is mogelijk dankzij tokens. Er zijn verschillende soorten tokens:
Hard tokens
Hard tokens (zoals in hardware) zijn fysieke devices die OTP's overbrengen en gebruikers op die manier helpen toegang te krijgen tot accounts en andere resources. In grote lijnen zijn er drie typen hard tokens:
- Verbonden tokens: Gebruikers sluiten deze tokens aan op het systeem of device waartoe ze toegang willen krijgen. Smartcards worden ingevoerd in de smartcardlezer van een device en USB-stations worden aangesloten op een USB-poort.
- Niet-verbonden tokens: Dit soort tokens wordt het meest gebruikt voor multi-factor authenticatie (MFA). Deze tokens hoeven niet fysiek geplaatst te worden door gebruikers, maar ze genereren meestal OTP's die gebruikers vervolgens moeten invoeren. Enkele voorbeelden hiervan zijn sleutelhangers, systemen voor sleutelloze toegang, mobiele telefoons en securitydevices van banken.
- Contactloze tokens: Deze tokens verzenden authenticatiedata naar een systeem, dat de informatie analyseert en vervolgens bepaalt of de gebruiker toegangsrechten heeft of niet. Bluetooth-tokens zijn een voorbeeld van contactloze overdracht, waarbij geen fysieke verbindingen of handmatige invoer nodig zijn.
Soft tokens
Soft tokens (zoals in software) zijn geen fysieke items die we in ons bezit hebben. Ze staan als software op een device zoals een laptop of mobiele telefoon. Authenticatie met soft tokens gebeurt meestal met een app die pushmeldingen of sms'jes stuurt waarop gebruikers moeten reageren om hun identiteit te verifiëren.
Al deze methoden volgen hetzelfde basisproces: de gebruiker stuurt authenticatiedata naar een systeem, het systeem verifieert of de informatie klopt en geeft de gebruiker toegang als dat zo is. Het principe is hetzelfde als bij een gewoon wachtwoord, maar bij een OTP komen de authenticatiedata niet verder dan de gebruiker en het doelsysteem.
Welke authenticatiemethoden zijn het beste?
Niet alle methoden zijn even goed. Elke vorm van MFA is beter dan alleen wachtwoorden gebruiken, maar elke authenticatiefactor biedt een andere mate van bescherming. Hier volgen een paar tips om u te helpen zwakke plekken te vermijden.
SMS-authenticatie is misschien wel makkelijker, maar het is ook minder veilig
Communiceren via sms is gemakkelijk, we doen het allemaal. Het is dan ook niet vreemd dat veel organisaties en serviceproviders SMS OTP gebruiken als tweede verificatievorm van iemands identiteit.
Helaas is SMS OTP kwetsbaar voor verschillende soorten aanvallen, zoals:
- Sim-swapping en -hacking: Uw simkaart geeft aan met welke provider en welk telefoonnummer uw telefoon verbinding moet maken. Bij een sim-swapaanval haalt een fraudeur uw provider over om uw nummer te vervangen door een sim waarvan de fraudeur eigenaar is. De fraudeur heeft vervolgens toegang tot alle SMS OTP-berichten die worden gesynchroniseerd met uw accounts.
- Account takeovers: Bij veel draadloze providers kunnen gebruikers sms-berichten in hun webportal bekijken. Als uw online account voor de webportal alleen met een zwak of algemeen wachtwoord is beschermd, kan een aanvaller dit account hacken en toegang krijgen tot alle SMS OTP-berichten.
- Kwijtgeraakte en gesynchroniseerde devices: Wanneer u uw telefoon verliest, zou u in theorie geen SMS OTP-berichten moeten kunnen ontvangen. We kunnen nu echter berichten tussen verschillende apparaten synchroniseren, zodat we zelfs zonder telefoon via SMS OTP kunnen authenticeren en toegang krijgen tot accounts. Gevoelige berichten op deze manier doorsturen is niet echt veilig, vooral als uw e-mail een wachtwoord heeft dat gemakkelijk kan worden geraden.
- Phishing: Bij een social engineering-aanval probeert een fraudeur die zich voordoet als een medewerker van een betrouwbaar bedrijf, u over te halen de inloggegevens voor uw account en uw SMS OTP te verstrekken. Bij phishingaanvallen maken hackers misbruik van de emoties of onwetendheid van mensen en SMS OTP's kunnen op dezelfde manier als wachtwoorden worden buitgemaakt.
Nu remote werken steeds populairder wordt, gebruiken medewerkers van organisaties ook steeds vaker hun mobiele devices om toegang te krijgen tot applicaties voor het werk. Check ons rapport Businesses @ Work (vanuit huis) voor meer informatie over hoe dit van invloed is op securitymaatregelen.
OTP-securitytokens hebben voor- en nadelen
Hard tokens, zoals RSA SecureID, zijn absoluut een vooruitgang ten opzichte van OTP's via sms. Wanneer gebruikgemaakt wordt van iets dat mensen in hun bezit hebben, zijn ze minder kwetsbaar dan bij authenticatie op basis van kennis. OTP-devices zoals security keys gebruiken bovendien asymmetrische versleutelingsalgoritmes om ervoor te zorgen dat het OTP het token nooit verlaat en dus ook niet kan worden gelekt.
De tastbare aard van hard tokens kan echter ook een nadeel zijn. Gebruikers moeten dan namelijk nog een device meenemen, met het risico op verlies, diefstal of beschadiging. Dat maakt het voor IT-afdelingen lastig om OTP-tokens te onderhouden, vooral in grote organisaties, en het levert een risico voor de security op wanneer devices in verkeerde handen vallen.
Tokens die fysiek moeten worden verbonden met een device, zijn bovendien niet altijd toegankelijk. USB-stations zoals U2F keys zijn bijvoorbeeld niet handig voor de beveiliging van mobiele devices, die geen USB-poort hebben.
Authenticatie-apps zijn een sterk alternatief
- Mobiele authenticators zoals Okta Verify, Authy en Google Authenticator verifiëren de identiteit van gebruikers door OTP's en pushmeldingen naar de app van de gebruiker te sturen. Er zijn verschillende redenen waarom authenticatie-apps veiliger zijn dan de bovenstaande methoden:
- Mobiele OTP's zijn niet afhankelijk van internettoegang, uw locatie of de security van uw draadloze provider. OTP's en pushmeldingen zijn aan het device gekoppeld en niet aan het nummer. Bovendien werken ze meestal zonder netwerkservice of data.
- Mobiele OTP is vaak een gratis functie die in veel authenticatie-apps is ingebouwd. Daardoor is het eenvoudig te gebruiken door ondernemingen en individuen.
- Pushmeldingen en mobiele OTP-codes zijn niet lang geldig, waardoor het risico op misbruik kleiner is dan bij SMS OTP.
- Sommige authenticatie-apps ondersteunen biometrische gegevens zoals gezichts- en vingerafdrukherkenning. Dit is een sterkere beschermingslaag omdat dan niemand anders pushmeldingen op uw device kan accepteren, dus ook niet als uw telefoon gestolen wordt.
WebAuthn beschermt nog meer devices
WebAuthn is een browsergebaseerde API die geregistreerde devices (desktop of mobiel) als authenticatiefactor gebruikt. Het kan worden gebruikt door biometrische authenticators die in apparaten zijn ingebouwd (zoals Windows Hello, Vingerafdruk in Android, Touch ID in iOS) en door draagbare devices zoals Yubikey 5Ci.
WebAuthn biedt enkele unieke voordelen:
- Dankzij cryptografie met openbare sleutels worden gebruikers effectief beschermd tegen phishingaanvallen.
- Door de integratie met devices en biometrische gegevens van gebruikers verloopt het inloggen snel en gemakkelijk.
- Google Chrome, Microsoft Edge en Firefox kunnen allemaal een koppeling tot stand brengen met biometrische devices waardoor WebAuthn toegankelijk wordt.
Ons advies is om authenticatie-apps voor mobiele devices en WebAuthn te implementeren, en daarnaast andere OTP-methoden als back-up te gebruiken.
Meer informatie
Er zijn veel verschillende authenticatie-opties om uw accounts veilig te houden. In ons datasheet over zekerheidsniveaus van verschillende factoren vindt u een vergelijkend overzicht.