04.02.21
bijgewerkt 22.08.22
Marten Gülink
0 commentaren
Inhoudsopgave
2FA WordPress en Raidboxes

Wat is twee-factor-authenticatie en hoe kun je het gebruiken bij Raidboxes?

Je kunt je Raidboxes account nu beveiligen met twee-factor-authenticatie (2FA). Dit artikel legt uit waarom 2FA zo'n effectieve beveiligingsmaatregel is voor WordPress, je aanmelding bij het Raidboxes Dashboard of andere toegangspunten en hoe twee-factor-authenticatie werkt. 

De nachtmerrie van ongeautoriseerde logins

Aangezien ons leven zich steeds meer online afspeelt, zou het natuurlijk een absolute nachtmerrie zijn als iemand zich toegang zou verschaffen tot een of zelfs al je rekeningen. Stel je eens voor dat een bedrijf waaraan je je financiële of persoonlijke gegevens toevertrouwde, wordt gehackt of dat een datalek openbaar wordt. Gelukkig zijn niet alleen criminelen online vindingrijker geworden, maar ook de Cyber Security om zich tegen aanvallers te beschermen wordt steeds beter. En de nieuwste beveiliging omvat 2 factor authenticatie (2FA).

Als WordPress hoster is het onderwerp beveiliging bijzonder belangrijk voor ons en we werken voortdurend aan de integratie van nieuwe beveiligingsfuncties. Om Raidboxes Dashboard nog veiliger te maken, is twee-factor authenticatie nu beschikbaar voor onze klanten. 

Wat is 2FA en waarom is het zo belangrijk?

Om zo goed mogelijk uit te leggen waarom twee factor authenticatie tegenwoordig zo belangrijk voor gegevensbeveiliging is, zal ik eerst definiëren wat 2FA niet is.

Ten eerste is 2FA geen wachtwoord, althans niet echt. Als je met deskundigen praat, zullen zij waarschijnlijk zeggen: "De tijd dat een wachtwoord voldoende was om ongeautoriseerde toegang tot je website te voorkomen, ligt ver achter ons - als het al ooit goed heeft gewerkt."

De reden? Menselijk falen.

De achteloosheid bij het aanmaken van een wachtwoord

Een recente analyse onderzocht meer dan 1,4 miljard gehackte wachtwoorden en ontdekte dat veel daarvan schokkend eenvoudig zijn. Nogal wat mensen waren zelfs zo onvoorzichtig dat ze "11111", "12345" of het goede oude "wachtwoord" gebruikten. Wie zo'n wachtwoord gebruikt moet niet verbaasd zijn over gehackte accounts. Als je precies wilt weten welke wachtwoorden het meest gebruikt worden en hoe lang het duurt om ze te kraken, bekijk dan de"Top 200 meest voorkomende wachtwoorden van het jaar 2020" van Nordpass. 

Een ander probleem dat we niet mogen vergeten zijn gerecycleerde paswoorden. Met tientallen apps, accounts, websites en apparaten die inloggegevens van ons eisen, is het natuurlijk vervelend om voor elke toegang unieke wachtwoorden te onthouden. Maar als je hetzelfde wachtwoord voor meerdere - of zelfs al je - accounts gebruikt, neem je een groot risico. Want als je één van je accounts kraakt, heb je automatisch toegang tot alle andere. 

Jouw introductie in 2FA

Op het eerste gezicht lijkt twee factor authenticatie op een typisch inlogproces. Om toegang te krijgen tot een website of app, word je gevraagd om je gebruikersnaam en wachtwoord in te voeren. Maar dat is pas de eerste stap. Daarna wordt er nog één stukje informatie gevraagd - naast je gebruikersnaam en wachtwoord. Meestal is deze aanvullende informatie afkomstig uit een van deze categorieën:

  • Persoonlijke kennis: Naast het wachtwoord wordt je om andere informatie gevraagd die alleen jij kent - bijvoorbeeld een pincode, antwoorden op eerder beantwoorde "geheime vragen" of een ontgrendelingspatroon op het scherm van de mobiele telefoon. 
  • Real-world informatie: je wordt om informatie gevraagd die alleen je kunt opvragen - bijvoorbeeld een tijdgevoelige code die naar je e-mailadres of via SMS wordt gestuurd.  
  • Biometrische informatie: Zo kan je bijvoorbeeld worden gevraagd een vingerafdruk, een netvliesscan of een stemafdruk af te geven.

Twee-factor-authenticatie betekent dat geen enkel wachtwoord voldoende is voor hackers om je login te kraken. Dus als je je telefoon verliest of je wachtwoord wordt gestolen, kunnen cybercriminelen met 2FA geen toegang krijgen tot je gegevens zonder bijvoorbeeld de naam van je eerste huisdier of de straat waar je bent opgegroeid te weten.

Twee-factor-authenticatie en WordPress beveiliging

Er is een reden waarom het meestal grote bedrijven zijn die door hackers worden aangevallen: daar bevinden zich de meeste gegevens. WordPress is goed voor 64 procent van de CMS-markt, waardoor het een omgeving is waar een inbreuk op de beveiliging een heleboel gegevens kan opleveren.

Wist je dat bijna 40 procent van alle websites op WordPress draaien? Dat zijn veel websites die hackers kunnen onderzoeken op kwetsbaarheden.

Een andere aantrekkingskracht van WordPress op hackers is de populariteit van het content management systeem. Omdat WordPress zo eenvoudig te gebruiken is, kun je je website zonder veel ervaring aan de gang krijgen. Er zijn dus nogal wat relatief onervaren WordPress-gebruikers wiens websites niet goed beveiligd zijn, niet worden bijgewerkt, en dus achterdeurtjes voor aanvallers bieden.

Hoe maak je sterke wachtwoorden

Eerst en vooral moet je sterke wachtwoorden gebruiken. Maar hoe vind je een goed wachtwoord dat je nog kunt onthouden? How-To Geek hoofdredacteur Chris Hoffmann heeft een geweldige tip voor je:

"Misschien onthoud je makkelijker een zin als 'The first house I ever lived in was 613 Fake Street. Rent was $400 per month." Je kunt van die zin een wachtwoord maken door de eerste cijfers van elk woord te gebruiken, dus je wachtwoord zou dan worden TfhIeliw613FS.Rw$4pm. Dit is een sterk wachtwoord van 21 tekens. Zeker, een echt willekeurig wachtwoord bevat misschien wat meer cijfers, symbolen en hoofdletters door elkaar, maar het is helemaal niet slecht.

Je wachtwoorden moeten echter niet alleen veilig, maar ook uniek zijn. Met een overeenkomstig aantal accounts zal je geheugen op de proef worden gesteld. Maar maak je geen zorgen: er zijn veel wachtwoordmanagers die niet alleen je wachtwoorden beheren, maar ook unieke, complexe wachtwoorden genereren voor elke nieuwe account. Maar nogmaals, wachtwoorden zijn beperkt in hun mogelijkheden om je harde werk en je gegevens te beschermen. Dus laten we teruggaan naar twee-factor authenticatie.

Hoe werkt Two-Factor Authenticatie?

Hardwaretoken 

Dit is de oorspronkelijke vorm van 2FA, waarbij je een sleutelhanger krijgt die elke 30 seconden een nieuwe code genereert. Wanneer je wilt inloggen op de desbetreffende website, controleer je de huidige code en voer je deze in. Een andere vorm is een USB-stick die automatisch een 2FA-code in de computer invoert wanneer hij wordt aangesloten.

Deze hardware-opties zijn beter dan helemaal geen 2FA, maar helaas niet veel beter. Want ze zijn gemakkelijk te verliezen, duur voor bedrijven om te produceren en te distribueren, en zeker niet onmogelijk te hacken.

SMS en Stem 2FA 

Bij dit type authenticatie met twee factoren log je in met je naam en wachtwoord en ontvang je vervolgens een SMS- of spraakbericht met een unieke wachtwoordcode (OTP). Je moet dit wachtwoord invoeren om het inloggen te voltooien. Dit type 2FA wordt veel gebruikt, hoewel het nog niet de ideale oplossing is. In 2017 bijvoorbeeld wist een groep white-hat hackers een Bitcoin wallet te "kapen" door 2FA SMS te onderscheppen.

Software Tokens

Verreweg de populairste vorm van 2FA is tegenwoordig het gebruik van een op tijd gebaseerd eenmalig wachtwoord (TOTP), gegenereerd door een softwareprogramma, ook wel een "soft token" genoemd.

Bij deze methode van twee-factor authenticatie download je eerst een gratis 2FA app - op je smartphone of computer. Eenmaal geïnstalleerd werkt deze app met elke website die TOTP-authenticatie ondersteunt. Zodra je 2FA via TOTP hebt ingeschakeld voor een van je aanmeldingen, log je gewoon in met je gebruikersnaam en wachtwoord. Je wordt dan gevraagd een code in te voeren die naar de geïnstalleerde app wordt gestuurd. Deze code verloopt meestal na 60 seconden. 

Aangezien de code op hetzelfde apparaat wordt gegenereerd en weergegeven, is er geen kans dat hackers de code onderscheppen. Bovendien werken deze apps ook offline. Je bent dus niet afhankelijk van het mobiele netwerk, zoals het geval is bij 2FA via SMS. 

2FA Push Meldingen

Een andere steeds vaker gebruikte versie van 2FA zijn pushberichten. De manier waarop deze werken is dat je een melding krijgt van websites en apps wanneer er een inlogpoging is. Je bevestigt of weigert gewoon met één klik, en voila, je bent ingelogd zonder extra wachtwoorden of tokens.

Deze versie van 2FA werkt echter alleen als jij en de website een directe, beveiligde verbinding hebben.

Welke 2FA-app kun je gebruiken?

Er zijn talloze apps die je kunt gebruiken voor de hierboven beschreven TOTP-authenticatie. Om de jungle een beetje op te ruimen, heb ik twee voorbeelden voor je meegenomen:

Als je bijvoorbeeld Android gebruikt, is de app andOTP een goede keuze. Het biedt de mogelijkheid om een wachtwoord in te stellen om de app te openen en om back-ups te maken en te versleutelen. Telkens wanneer je bijvoorbeeld een nieuwe dienst toevoegt of verwijdert, kun je een versleutelde back-up naar je privécloud maken, zodat je geen probleem hebt wanneer je van mobiel apparaat verandert. De integratie met 1Password of andere wachtwoordbeheerders werkt ook met andOTP zonder problemen.

Aangezien andOTP niet beschikbaar is voor iOS, is Twilio Authy een goede keuze voor Apple-gebruikers. De voordelen: Authy biedt service back-ups in de iCloud of via Google Drive aan en wordt regelmatig onderworpen aan intensieve beveiligingstests.

Bovendien kun je met de meeste wachtwoordmanagers TOTP-codes genereren. Als je bijvoorbeeld 1Password gebruikt, zal deze stap-voor-stap handleiding je verder helpen. 

Twee-factor-authenticatie voor Raidboxes

Vanaf nu kun je twee-factor-authenticatie activeren voor een Raidboxes account, naast je normale login. Als 2FA actief is, moet je naast je wachtwoord nog een code invoeren wanneer je inlogt op je RB-Dashboard. Je kunt ervoor kiezen om deze code per e-mail, sms of via een authenticatie-app naar je te laten sturen. 

Het gebruik van de 2FA-functie is gratis en optioneel voor alle Raidboxes klanten. We raden je echter sterk aan deze extra bescherming te activeren. Iemand die zonder autorisatie inlogt op je Raidboxes account zou immers niet alleen toegang hebben tot jouw gegevens, maar ook tot die van je klanten - bijvoorbeeld als je als beheerder klantensites beheert.

2FA via app, mail of sms

Twee-factor-authenticatie is mogelijk bij Raidboxes via drie methoden:

  • App: Om onze 2FA-functie te gebruiken, kun je elke authenticattor-app gebruiken die TOTP ondersteunt. Wij adviseren bijvoorbeeld andOTP (voor Android) of Authy (voor iOS).
  • E-mail: Als je 2FA via e-mail wilt gebruiken, ontvang je je verificatiecodes op het e-mailadres waarmee je bent geregistreerd op Raidboxes.
  • SMS: Als je ten minste één betaald contract hebt, kun je 2FA ook via SMS gebruiken. (Het door jou opgegeven mobiele telefoonnummer wordt niet in ons systeem opgeslagen. Wij kunnen dus niet zien welk nummer jij gebruikt voor 2FA).
twee-factor-authenticatie

Nadat je de twee-factor-authenticatie voor je Raidboxes account hebt geactiveerd (we leggen uit hoe je dit doet in dit helpcenter-artikel), moet je bij het inloggen een extra code invoeren, die je wordt toegestuurd via de methode die jij hebt geselecteerd.

Je moet ook een 2FA-code invoeren om de functie uit te schakelen. Mocht je ooit van je account worden afgesloten, neem dan contact op met onze klantenservice via live chat. 

Voor wie is de 2FA bij Raidboxes van toepassing ?

Je kunt de twee-factor-authenticatie activeren met slechts een paar klikken in je accountinstellingen. Let op dat de 2FA bescherming met Raidboxes alleen van toepassing is op de account waarvoor je deze geactiveerd hebt – niet op individuele boxen of hun beheerders.

Maar om je gegevens (en die van je bedrijf) zo goed mogelijk te beschermen, raden we alle gebruikers sterk aan hun Raidboxes toegang te beveiligen met 2FA.

En hoe zit het met 2FA voor WordPress?

Op dit punt willen we erop wijzen dat onze 2FA functie alleen van toepassing is op je Raidboxes account en niet op je WordPress login. Er zijn echter veel 2FA WordPress plugins die je kunt gebruiken om je WordPress login te beveiligen.

Wat is twee-factor-authenticatie en hoe kun je het gebruiken bij Raidboxes?
Google Authenticator WordPress plugin in WP Plugin Directory

Hieronder valt bijvoorbeeld de plugin"Google Authenticator - WordPress Two Factor Authentication" met meer dan 20.000 actieve installaties. Of"Two Factor Authentication" - ook met meer dan 20.000 gebruikers - van de makers van de populaire back-up plugin "UpdraftPlus". Je kunt gemakkelijk meer 2FA plugins vinden in de officiële WordPress Plugin Directory of in je WordPress Dashboard onder Plugins > Installeren

Onze conclusie

Met trots kondigen we aan dat Raidboxes Dashboard nu nog veiliger is voor onze gebruikers dankzij twee-factor authenticatie. Hoewel de activering van 2FA voor ons niet verplicht is, hopen we dat de genoemde voordelen je hebben overtuigd. Want door extra om een 2FA-code te vragen, krijgt je account een extra beveiligingsniveau en zorg je ervoor dat jouw gegevens (en die van je klanten) nog beter beschermd zijn tegen ongeoorloofde toegang.

Wij zijn blij met jouw input!

Als je nog vragen heeft over twee-factor-authenticatie of over het gebruik van de 2FA-functie bij Raidboxes, laat dan een reactie achter – of neem contact met ons op via onze live chat!



Vond je het artikel leuk?

Met jouw beoordeling help je ons om onze inhoud nog verder te verbeteren.

Marten Gülink

Als webontwikkelaar bij Raidboxes werkt Marten altijd aan nieuwe functies voor onze klanten. Op "wp unboxed" scoort hij ook punten met zijn kennis van webontwikkeling, WordPress en onze Dashboard. In zijn vrije tijd geniet hij ook van zelf-hosting en de laatste trends op het internet.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *.