Tagtwo factor authentication

Beveilig de toegang tot je Facebook account beter

B

Deze blogpost uit december 2015 werd herwerkt in augustus 2020.

Two-factor authentication of dubbele authenticatie was in 2015 misschien nog iets voor nerds, in 2020 de eenvoudigste manier om je te wapenen tegen de steeds toenemende internetcriminaliteit.

Dubbele authenticatie instellen in Facebook is niet moeilijk, het kost enkel een beetje tijd.

Werkwijze (algemeen)

  1. Meld je aan bij Facebook.
  2. In de blauwe titelbalk klik je uiterst rechts op het pijltje.
  3. In het menu dat verschijnt kies je voor “Instellingen”.
  4. Klik links op “Beveiliging en aanmelding”.
  5. Rechts op het scherm klik je op “Tweestapsverificatie gebruiken”.

Bij Facebook heb je meerdere mogelijkheden op vlak van dubbele authenticatie. Wil je een code ontvangen in een app (Google Authenticator of Microsoft Authenticator) of ontvang je de code liever met een SMS’je. Je kan beide opties openhouden.

Optie 1: Werken met een app

  1. Klik op de blauwe knop “Verificatieapp gebruiken”.
  2. Scan de QR-code die verschijnt met de Google of Microsoft authenticator en klik op “Doorgaan”. In de authenticator app verschijnt nu een zescijferige code die om de 30 seconden wijzigt.
  3. Om te bevestigen dat je hier echt mee wil doorgaan moet je de zescijferige code intikken en klikken op “Doorgaan”. Tenslotte klik je op “Klaar”.

Dubbele authenticatie is nu actief.  Je kan ervoor kiezen om ook SMS als dubbele authenticatie te voorzien voor het geval de app dienst weigert. Je kan SMS ook als enige manier voor dubbele authenticatie instellen.

Optie 2: Werken met SMS

  1. Herhaal de eerste 5 stappen uit deze blogpost.
  2. Klik op de knop “Instellen” naast “SMS-bericht”.
  3. Kies het GSM-nummer dat je hiervoor wil gebruiken en klik op “Doorgaan”.
  4. Er wordt gevraagd om de eerste SMS-code in te tikken. Alles alles goed gaat ontvang je die binnen enkele ogenblikken. Klik tenslotte op “Doorgaan”.
  5. Er wordt gevraagd om je Facebook-wachtwoord in te geven, doe dit en klik op “Doorgaan”.

Actief!

Ongeacht of je koos voor optie 1, optie 2 of de beide, dubbele authenticatie is nu actief. Wanneer je probeert aan te melden op Facebook in een browser/computer waarop je dat nooit eerder deed zal je gevraagd worden om naast je gebruikersnaam en wachtwoord ook de code uit de app (codegenerator) in te geven. Indien de app voor jou geen optie is kan je klikken op “Andere verificatiemethode nodig?”, je kan dan aangeven dat je de code per SMS wenst te ontvangen.

Help! Mijn smartphone is verdwenen/gestolen/defect!

Een geheime code via SMS lukt niet en ook de Authenticator app gebruiken kan niet meer.  Voor zo’n situatie kan je VOORAF nood-codes aanvragen.

  1. Herhaal de eerste 5 stappen uit deze post.
  2. Klik op de knop “Instellen” naast “Herstelcodes”.
  3. Klik op de knop “Codes ophalen”. Er verschijnen nu 10 codes die elk één keer kunnen gebruikt worden.

Bewaar de codes op een veilige plek waar niemand ze kan vinden en gebruik ze wanneer je om een of andere reden geen toegang hebt tot je smartphone.

Heb je vragen, opmerkingen of is iets niet duidelijk? Dan hoor ik dat graag.

Beveilig de toegang tot je Twitter account beter

B

Deze blogpost uit januari 2016 werd herwerkt in augustus 2020.

Two-factor authentication of dubbele authenticatie was in 2016 misschien nog iets voor nerds, in 2020 is het de eenvoudigste manier om je te wapenen tegen de steeds toenemende internetcriminaliteit.

Dubbele authenticatie instellen in Twitter is niet moeilijk en kan zowel op basis van een authenticator app als op basis van een sms-code.

Werkwijze (algemeen)

  1. Meld je aan op http://www.twitter.com met je Twitter gebruikersnaam en wachtwoord.
  2. Klik in het menu links op “Meer” en vervolgens op “Instellingen en privacy”.
  3. Onder de kop “Inloggen en beveiliging” klik je op “Beveiliging”.
  4. Klik net onder de kop “Tweestapsverificatie op “Tweestapsverificatie”. Je kan dubbele authenticatie baseren op een Authenticator app, een sms-code, een fysieke veiligheidssleutel of een combinatie van voorgaande.

Optie 1: Authenticator app

  1. Na de werkwijze hierboven zet je het vinkje aan bij “Verificatie-app”.
  2. Klik op “Start” in het scherm dat verschijnt.
  3. Tik je Twitter-wachtwoord in en klik op “Verifiëren”.
  4. Scan de QR-code die verschijnt met een authenticator app en klik op “Volgende”.
  5. Vul de zescijferige code in die je in je authenticator app vindt.
  6. Je krijgt een “back-upcode” die je kan gebruiken als zowel de authenticator app als de sms-code je in de steek laten. Klik op “Begrepen”.

Optie 2: SMS-code

  1. Na de algemene werkwijze bovenaan deze post zet je het vinkje aan bij “SMS”.
  2. Klik onderaan op het schermpje dat verschijnt op de knop “Aan de slag”.
  3. Klik op de knop “Code verzenden”.
  4. Vul de code die je via SMS ontvangt in en klik op “Volgende”.
  5. (idem als in Optie 1) Je krijgt een “back-upcode” die je kan gebruiken als zowel de authenticator app als de sms-code je in de steek laten. Klik op “Begrepen”.

Actief!

Ongeacht of je nu koos voor optie 1, optie 2 of beide … Dubbele authenticatie is actief. Er wordt gezocht naar een evenwicht tussen gebruiksgemak en veiligheid. Enkel wanneer je je aanmeldt in een browser/op een computer die je niet eerder gebruikte zal je na het ingeven van een juiste gebruikersnaam en wachtwoord ook nog een code moeten ingeven.

Heb je vragen, problemen of opmerkingen? Contacteer mij gerust!

Mailbox gehackt?

M

In mijn vrienden- en kennissenkring hoor ik de laatste tijd weer vaker dat hun mailbox gehackt. Onze mailbox is en blijft een van de favoriete doelwitten van hackers. Het is dan ook voor velen van ons het epicentrum van ons online leven. Het is de plaats waar bevestigingen van online betalingen toekomen, de plek waar je mailtjes ontvangt waarmee je je vergeten wachtwoord kan herstellen …

Meer nog dan vroeger is het de verzamelplek van persoonlijke informatie. Sinds mailplatformen als GMail of Office365 gigantische hoeveelheden opslagruimte aanbieden voor geen geld zien we geen reden meer om (oude) mailtjes te verwijderen.

Is mijn mailbox gehackt?
Dat is oprecht een goede vraag. De hacker heeft er immers niets aan dat je dit snel ontdekt. Hij wil in alle stilte zo lang mogelijk misbruik maken van je mailbox. Een veel gebruikte techniek is het instellen van een regel waardoor interessante mailtjes die voor jou zijn bestemd doorgestuurd worden naar de mailbox van de hacker.

Gebruikers van Office365 kunnen dit nagaan door op het tandwieltje te klikken rechts bovenaan nadat ze zijn ingelogd in hun mailbox. Helemaal onderaan het scherm klik je op “Alle outlook-instellingen weergeven”. In het menu dat verschijnt kies je uiterst links voor “E-Mail”, daarnaast op “Regels”. Indien er regels te zien zijn, analyseer ze dan rustig. Een hacker zou bv. een regel kunnen ingesteld hebben genre “Als de mail het woord ‘visa’ of ‘mastercard’ bevat, stuur de mail dan door naar …”

Hoe wordt mijn mailbox gehackt?
De potentiële winst die een hacker kan maken door jouw mailbox te hacken is niet zo groot, de inspanningen die de hacker wil leveren om jouw mailbox te hacken zijn navenant. De hacker baseert zich op de wetenschap dat veel mensen één wachtwoord gebruiken voor alle mogelijke online toepassingen.

In het verleden werden (en worden nog steeds!) grote bedrijven zoals LinkedIN, eBay, Canva … gehackt waarbij de lijst van hun gebruikers mét bijhorende wachtwoorden in handen van hackers terecht komen. Die lijsten worden op duistere websites voor een prikje te koop aangeboden.

GMail en Offic365 hebben (bij mijn weten) dit nog niet voorgehad maar dat hoeft ook niet. Wanneer de hacker te weten komt dat je login op Canva pakweg “dieter@depuydt.eu” is en je wachtwoord “test@123!”, dan vindt hij het op zijn minst de moeite waard om even te proberen of ook je mailbox wordt beschermd met het wachtwoord “test@123!”. Of je nu een sterk wachtwoord hebt of niet, dat maakt met deze hackers techniek dus niets uit.

Hoe kan ik mij beschermen?
In de meest ideale situatie kies je voor elk online platform een ander wachtwoord. Steeds een sterk wachtwoord uiteraard. Echt gebruiksvriendelijk of makkelijk is het niet, zelfs als je een wachtwoordmanager gebruikt.

Daarom werd “dubbele authenticatie” in het leven geroepen. Alle grote mailplatformen (waaronder GMail en Office 365) bieden deze dienst gratis aan. Naast je gebruikersnaam en wachtwoord moet je dan elke keer nog een code ingeven. Een code die je vindt in een handige app op je smartphone of die je per SMS wordt toegestuurd. De code is slechts eenmalig geldig en kan dus moeilijker misbruikt worden door hackers.

Het kost allemaal wat tijd en moeite, daar is geen twijfel over. Maar voor belangrijke diensten zoals je mailbox(en) loont het zeker de moeite.

Hoe?
Om je op weg te helpen schreef ik een korte blogpost voor de belangrijkste platformen.

Beveilig je Twitter account beter
Beveilig je Facebook account beter
Beveilig je Office 365 account beter

Gotcha.pw? Wat is dat?

G

De populaire media berichtten de voorbije dagen uitvoerig over de nieuwe website gotcha.pw.

Waar gaat het over?

In de voorbije maanden en jaren werden grote websites zoals LinkedIN, DropBox, Yahoo, Steam … gehackt.  Of om heel concreet te zijn, hackers zijn erin geslaagd om de databank met gebruikers én hun wachtwoord te bemachtigen. Misschien denk je “Ik lig niet zo wakker van mijn LinkedIN profiel” maar … gebruik je toevallig niet hetzelfde wachtwoord voor bv. LinkedIN én je mailbox?

Of misschien denk je “Welke hacker heeft nu interesse in mijn accounts?“. Die (gestolen) lijsten met gebruikersnamen en wachtwoorden zijn (mits een beetje zoekwerk op de juiste plek) makkelijk en gratis te downloaden. Je ict-vaardige buurman met wie je ruzie hebt over de overhangende azaleaplanten kan dus vrij makkelijk op zoek gaan naar je wachtwoorden én daar misbruik van maken.

Nu denk je misschien “Oei oei, ben ik erbij?”. Om daar een antwoord op te geven publiceerde een geëngageerde IT’er die lijsten in de vorm van een zoekmachine nl. Gotcha.pw.  Je tikt je e-mailadres in én je ziet onmiddellijk of je naam op één van die lijsten voorkomt. Om je te overtuigen dat het echt is toont de zoekmachine ook de eerste twee karakters van je wachtwoord.  Weet dat je volledige wachtwoord gekend is maar dat de maker van deze zoekmachine deze informatie dus bewust niet toont.

En dan zijn er natuurlijk twee mogelijkheden.

Optie 1: Oh nee! Ik ben erbij! Kalmte en een beetje goede raad zullen je redden :).  Wijzig het wachtwoord van je e-mailaccount(s), je Facebook-account, je Twitter-account, je smartschool-account, je Office365-account … en dan ben je weer veilig. Tot ze ergens opnieuw een grote website hacken, want zo gaat dat met die grote websites.

Om wat langer te kunnen genieten van de veiligheid doe je er goed aan om op elke website een achter wachtwoord te gebruiken. Als het wachtwoord van je LinkedIN-profiel dan gepubliceerd wordt dan zijn je Twitter-account, je mailbox, je smartschool-account nog steeds veilig. Om al je wachtwoorden bij te houden kan je gebruik maken van een wachtwoord-manager zoals https://www.lastpass.com/nlhttps://1password.com/ of https://www.dashlane.com/.

Maar nog beter is gebruik maken van 2-factor authentication. Het principe is dat je belangrijke accounts, zoals je e-mailaccount, beveiligt met een tweede vorm van authenticatie. Nadat je het juiste wachtwoord hebt ingetikt vraagt het systeem dan naar een extra code / wachtwoord. Die extra code of wachtwoord (die elke keer anders is) krijg je op je smartphone in de vorm van een SMSje of via een app die je eerder hebt geïnstalleerd. Dat is zo goed als altijd gratis! Ik schreef er enkele jaren geleden al enkele blogposts over.

Optie 2: Gelukkig! Ik ben er niet bij! Fijn! Maar wie weet sta je er morgen wel bij. Het is een goed idee om de tips te lezen bij Optie 1. 😀

Tot slot … vanwaar komt nu al die media-aandacht? De zoekmachine Gotcha.pw is nieuw sinds enkele dagen. De lijsten met gebruikersnamen en wachtwoorden zijn dat helaas niet, die cirkelen al maanden of misschien zelfs jaren rond. De zoekmachine Have I Been Pawned bestaat al vele maanden en heeft net hetzelfde doel als Gotcha.pw.  Omwille van de gebruiksvriendelijkheid én de nabijheid (project van een Nederlander) van Gotcha.pw haalt deze website nu veel media-aandacht. (Wat ik een goede zaak vind).

Heb je vragen over deze blogpost? Problemen om je wachtwoorden te wijzigen of two-factor authentication te configureren? Interesse in een lezing over dit onderwerp? Contacteer mij!

Two-factor authentication …

T

Two-factor authentication of hoe je de toegang tot je Facebook, Google, Outlook.Com, … account drastisch beter kan beveiligen.

Op vandaag beveiligen de meeste mensen de toegang tot diensten (denk aan Facebook, Twitter, Instagram, Outlook.Com, Gmail, …) met een gebruikersnaam en wachtwoord.  Langzaam groeit het besef dat dit niet de meest veilige manier van werken is. Meer en meer diensten (zoals bovengenoemde) voorzien daarom in een EXTRA beveiliging.  We gaan het gebruik van gebruikersnaam en wachtwoord dus niet overboord gooien maar we gaan er iets extra aan toevoegen.  We gaan de toegang tot onze diensten beveiligen met twee factoren, vandaar de naam “two-factor authentication”.

De eerste factor is bekend (gebruikersnaam en wachtwoord), de tweede factor is meestal de smartphone van de gebruiker maar dit kan op enkele verschillende manieren.  Zo kan de dienst een SMS sturen naar de gebruiker met daarin een geheime code, telkens de gebruiker de juiste gebruikersnaam+wachtwoord heeft ingegeven. De geheime code in de SMS moet ingetikt worden alvorens de gebruiker effectief toegang krijgt tot de dienst.  De geheime code in de SMS is slechts éénmaal bruikbaar. Wanneer het wachtwoord van de gebruiker “uitlekt” krijgen kwaadwilligen toch geen toegang tot de dienst want ze zullen niet over de geheime code beschikken die naar de gsm van de gebruiker gestuurd wordt.

Een andere mogelijkheid is werken met een zogenaamde Authenticator App op je smartphone. De bekendste authenticator app is die van Google en die is helemaal gratis en beschikbaar voor zowel iOS als Android. De app wordt eenmalig geïnstalleerd op de smartphone en voor elke dienst (die dit systeem ondersteund) geconfigureerd.  Voor elke dienst die je in de authenticator app configureert krijg je om de 30 seconden een andere code.  Wanneer je aanmeldt op een dienst zal naast je gebruikersnaam en wachtwoord ook gevraagd worden naar de code in de authenticator app gevraagd worden.

In de volgende blogposts leg ik telkens uit hoe je two factor authentication configureert voor een bepaalde dienst:

Maar let op ! Wat als je je smartphone verliest?  Met de geheime codes op je smartphone is men niet veel want men kent je gebruikersnaam+wachtwoord niet. Maar jij kent je geheime codes niet meer (die veranderen immers constant) en dus kan jij zelf OOK niet meer inloggen op je diensten.  Daarom bestaan er bij de meeste diensten noodprocedures. Zoek vooraf uit hoe die precies in z’n werk gaan en neem de nodige voorzorgen.

Vragen of opmerkingen? Je weet me te vinden.

Laatste berichten