Blog
iPhone 2Fa zonder app
Eén van de manier om de veiligheid van inloggen op websites te versterken is het gebruik van 2Fa, of te wel, two-factor authentication of multi-factor authentication. In de praktijk werkt dat als volgt: je logt in met je gebruikersnaam en wachtwoord, en moet vervolgens nog een extra code invullen die bijvoorbeeld gegenereerd wordt van uit een app op je telefoon. Deze code veranderd elke minuut en kan dus niet zomaar gegokt worden. Uiteraard zijn er verschillende variaties van dit concept beschikbaar.
Jaren terug kreeg ik een sleutelhanger waar elke minuut een nieuwe code op stond. Deze code had ik dan nodig om te kunnen inloggen. Intussen zijn deze (denk ik) vervangen voor gebruik van een app op iemand z'n telefoon. Google heeft bijvoorbeeld de Google Authenticator app, voor zowel IOS als Android en zo heeft Microsoft ook zijn eigen app. Microsoft pakt het hierbij ook meteen een stuk breder aan. Zo hoef je in sommige gevallen, nadat het ingesteld is naast, bij het inloggen op de Microsoft websites geen wachtwoord meer op te geven, maar moet je jezelf autoriseren met de app, door een code te bevestigen die zowel op het scherm als op de app getoond wordt. Erg handig.
Hiernaast gebruik ik nu een tijdje een Ubikey. Dit hardware sleuteltje kan je dan in combinatie met een app gebruiken om deze codes te genereren. De app kan zowel op je telefoon of op je desktop draaien. Via de telefoon gebruik je dan bijvoorbeeld NFC om de codes zichtbaar te krijgen, terwijl op de desktop plug je hem in een USB poort. Persoonlijk loop ik nu tegen het punt aan dat ik 2 afhankelijkheden nodig heb. Misschien wel extra veilig, maar als er iets met de Ubikey gebeurd heb ik voor mijn gevoel een te grote uitdaging. Morgen denk ik hier misschien weer anders over, maar dit is iets wat in mijn achterhoofd speelt.
Apple’s (Hidden) Authenticator App
Tot mijn grote verbazing liep ik tegen een artikel aan van Nikhil Vemu, waarin deze beweerd dat Apple dit (stiekem of gewoon niet heel erg bekend) al gewoon ingebouwd heeft. Zo stelt hij, dat je 2Fa direct op je telefoon ken gebruiken zonder wachtwoord. Het werkt als volgt:
- de website toont de QR-code voor het opzetten van 2Fa
- via de camera app krijg je vervolgens de melding als je de QR-code scant: "voeg verificatiecode toe aan 'wachtwoorden'
- hierop klikkende kom je bij wachtwoordbeheer van de IOS.
- Afhankelijk van de website (en de inhoud van de QR-code vermoed ik) selecteert hij al de juiste site, maar anders moet je deze even opzoeken. Je moet hierbij wel opletten dat je de juiste gebruiksgegevens selecteert, als je er meerdere hebt
- vervolgens toont de site de verificatie code die je kan kopiëren ter bevestiging
En dan klaar. Maar ja, hoe werkt het dan? Eigenlijk kan het niet simpeler, tenminste, als je meer Apple producten gebruikt en iCloud synchronisatie hebt. Als ik nu inlog op die site, met het juiste gebruikers account, zal bij de vraag om de verificatie op te geven een dropdown getoond worden met de gebruikersnaam en "verification code for ...". Hierop klikkende wordt automatisch het nummer ingevoerd! En dit werkt op je iPhone op dezelfde manier. Inloggen is zo niet alleen veiliger, maar ook nog eens heel simpel zonder extra hulpmiddelen!