2-Factor Authenticatie

Blog door Bart van Bodegom, Security Specialist

Steeds meer bedrijven ondersteunen en/of dwingen 2-factor authenticatie af op hun omgevingen, goed bezig zou je zeggen; dit is deels waar. De implementatie van 2-factor authenticatie komt vaak met uitdagingen voor de IT-afdeling. Verouderde apparatuur welke functionaliteit nodig heeft maar geen 2-factor ondersteund zijn een ‘pain in the ass’.

Enkele voorbeelden van 2-factor authenticatie zijn:

  • Een code per SMS
  • Applicatie (soft-token, Okta, DUO)
  • Hardware token (smartcard / YubiKey)

POP3, IMAP & Exchange

Dit zijn drie e-mail protocollen, POP3 en IMAP worden vaak aangeboden door internetproviders voor hun e-mail diensten. Exchange is een protocol van Microsoft en wordt veelal ingezet in bedrijfsomgevingen.

Voor alle protocollen valt wat te zeggen, maar globaal zijn dit de voor- en nadelen:

Voordelen POP3

  • Snel
  • Mailbox raakt niet vol, mits goed geconfigureerd

Nadeel POP3

  • Geen synchronisatie tussen meerdere systemen (vb. PC en telefoon)
  • Ondersteund geen 2FA-authenticatie

Voordelen IMAP

  • Synchronisatie tussen meerdere systemen
  • Persoonlijke mappen synchroniseren

Nadeel IMAP

  • Je mailbox kan makkelijker vol raken, een kopie van alle mails staan namelijk op de server van je e-mail provider
  • Ondersteund geen 2FA-authenticatie

Voordelen Exchange

  • Synchronisatie tussen meerdere systemen
  • Diverse extra functionaliteit, bijvoorbeeld ondersteuning voor agenda en contactpersonen

Nadelen Exchange

  • Je mailbox kan vol raken, een kopie van alle mails staan namelijk op de server van je e-mail provider
  • Niet elke client ondersteund het Exchange protocol

Meer weten over Identity & Access Management?

Klik dan hier

Waarom is je mailbox nog steeds zo’n interessant target?

E-mail is een centraal punt van communicatie. Communicatie met klanten, maar denk ook aan je eigen prive e-mail. Dit centrale punt is een interesant doelwit voor een aanvaller om toegang tot te verkrijgen.

Login van Bol.com, Coolblue, Zalando, waarschijnlijk gebruik je bij deze sites hetzelfde e-mail adres. Wat nu als iemand toegang weet te verschaffen tot dit account, ze kunnen je wachtwoord resetten bij deze webwinkels en een bestelling plaatsen met ‘achteraf betalen’. Zit jij met de rekeningen…

Vanuit business oogpunt is het schadelijker dat een aanvaller kan mailen namens een medewerker, zonder dat de medewerker hier wat van ziet. En als de medewerker hier al wat van mee krijgt is het vaak al te laat.

Genoeg informatie, waar zit nu de zwakheid?

De e-mail protocollen POP3 en IMAP ondersteunen geen 2-factor authenticatie, is dit een probleem? Dit hoeft geen probleem te zijn, wanneer een wachtwoord wordt gebruikt wat veilig is en met enige regelmaat wordt gewijzigd.

Office 365 is het platform van Microsoft waar steeds meer bedrijven naar over gaan, voornamelijk omdat ze hun eigen mailserver uit willen faseren. Een mailbox op het Office 365 platform is al beschikbaar vanaf 3,40 excl. BTW p.g.p.m.

Standaard worden diverse instellingen vanuit Microsoft aangezet om de gebruiker te voorzien van ondersteuning voor al z’n apparaten. Hieronder valt ook de ondersteuning voor IMAP, dit staat standaard aan, iets wat vrijwel nooit uitgeschakeld wordt door beheerders. “Het werkt toch, apparaten verbinden met Exchange.”

Zoals reeds aangegeven biedt IMAP geen 2-factor ondersteuning, het is dus alleen vereist om een gebruikersnaam en wachtwoord te weten van een medewerker. Hoe kom je daar aan? Gebruikersnaam is simpelweg je e-mail adres, dat is makkelijk.

Maar dat wachtwoord kan je niet zomaar raden? Klopt, als je een veilig wachtwoord gebruikt dan wordt dit aanvalsoppervlak voor een aanvaller vrij klein. Maar ook hier is Microsoft zo aardig om een aanvaller te helpen. Zo is het mogelijk om geautomatiseerd inlogpogingen te doen met veel voorkomende wachtwoorden op accounts (een zogenaamde password spray-aanval), standaard staat namelijk de lock-out policy uit. Is toch irritant dat je na 3x een verkeerd wachtwoord ingevoerd te hebben 5 minuten moet wachten?

Wanneer een aanvaller er dan toch in is geslaagd om je gebruikersnaam en wachtwoord te bemachtigen, is het alleen nog maar hopen dat IMAP ingeschakeld is. Dat is standaard het geval bij Office 365. Inloggen via de ‘normale’ manier triggert de 2-factor (mits ingeschakeld) en verstuurd een SMS of push-bericht afhankelijk van welke implementatie gebruikt wordt.

Dus we gebruiken voor de toegang een third party e-mail applicatie welke IMAP ondersteund, bijvoorbeeld het gratis pakket Mozilla Thunderbird.

Configureer Mozilla Thunderbird met de volgende instellingen en je 2-factor bypass is daar:

  • Inkomende server: outlook.office365.com
  • Uitgaande server: smtp.office365.com
  • Gebruikersnaam: e-mail adres
  • Wachtwoord: bijbehorend wachtwoord

Conclusie: schakel IMAP ondersteuning uit binnen je Office 365 omgeving. Wanneer dit niet kan omdat je nog gebruik maakt van legacy apparatuur welke IMAP vereist, schakel dan IMAP alleen in voor deze specifieke devices en maak gebruik van een sterk (lang) wachtwoord.

Ook interessant voor u…

Meer over Identity & Acces Management

Passwordless authenticatie

Alles over ‘passwordless’-authenticatie.

thumb-website-page-newsletter

Maandelijks interessante content ontvangen? Meld u aan voor de nieuwsbrief!