Maandag maakte Google bekend dat het bij 150 miljoen e-mail accounts MFA gaat aanzetten. FA, of 2FA maakt een gestage en noodzakelijke opmars door.
Een van de eerste
Toen jaren terug Google als een van de eerste aanbieders van gratis e-mail kwam met een MFA optie was dat echt bijzonder. In combinatie met de app die de MFA code aanmaakt was er zo in een keer een laagdrempelige manier e-mail te beschermen.
Voorgaande methodes voor MFA waren bedoeld voor zakelijke gebruikers. Vaak ook waren ze in het gebruik niet gratis. Het device dat de code genereert, de authenticator, kost geld of het ontvangen van de sms ging van de bundel af.
En gratis
Google liet zien dat het ook gratis kan. Dat heeft een grote rol gespeeld in het bekender maken van het verschijnsel MFA en het verlagen van de drempel dit te gaan gebruiken. Het bedrijf heeft in tegenstelling tot Microsoft ook gekozen voor een techniek die veel makkelijker elders kan worden toegepast.
En dat is dan ook gebeurd. Voor het beveiligen van de achterkant van WordPress en de toegang tot beheerpanels van hosting is het een veel gebruikte extra beschermlaag. Dat is ook precies waarvoor MFA is bedoeld. Het aanvallers behoorlijk moeilijker maken toegang te krijgen tot inloggegevens of mailaccounts. In de strijd tegen spam en botnets is MFA dus gewoon belangrijk.
Verplicht bij banken in EU
Lang niet iedereen heeft oog voor die specifieke usecase van MFA. Voor iedereen in de EU is de extra handeling om in te loggen bij de bank het dagelijkse voorbeeld van MFA. Die verplichte invoer is redelijk snel en zonder ophef doorgevoerd. De methode die hiervoor in omloop was bij de banken, het ingeven van een TAN code, was te fraudegevoelig. Lang niet alle banken hadden namelijk aparte authenticators voor die tweede identificatie vanaf een ander device. Nog steeds dat device niet bij elke bank verkrijgbaar. Het is ook niet nodig, want de MFA functie kan gecombineerd worden met de gewone bankapp.
E-mail en bankieren is dankzij MFA een stuk veiliger geworden, maar de opmars van deze toepassing gaat nog door. Kijk maar eens goed naar het aantal online diensten dat wordt gebruikt en waarvoor inloggen met username / wachtwoord de enige optie is. Er zijn nog genoeg zwakke plekken aan te wijzen die makkelijk beter beveiligd kunnen worden.
