Google authenticator review
TUNIX/KeyApp vs Google Authenticator:
wat zijn de verschillen en
welke is veiliger?
Google authenticator review – Nu we steeds meer en vaker thuiswerken is het logisch om je online identiteit – extra – sterk te beveiligen. Twee factor authenticatie biedt daarin een goedwerkende en solide oplossing. Grote kans dat je daarbij meteen aan Google Authenticator denkt. Maar wist je dat er ook een Nederlands alternatief is? Want met TUNIX en de TUNIX/KeyApp bied ik een steengoed, maar eigenlijk het beste alternatief voor 2FA.
Alleen wat is het verschil tussen Google Authenticator en TUNIX/KeyApp dan? In dit blog schrijf ik welke ervaringen ik heb met Google Authenticator, en waarom wij een Nederlands alternatief hebben ontwikkeld.
Inhoud van dit blog:
De belangrijkste verschillen tussen Google Authenticator en TUNIX/KeyApp
Om te beginnen is Google Authenticator een niet kant-en-klaar afgeleverd product. Het is een implementatie voor in toepassingen waarmee je jouw logins kunt beveiligen met een OTP-Password (One Time Password). Door je toepassing deze manier te beveiligen kan deze met shared-secret toegang verschaffen aan een gebruiker. Dit doe je door de gegenereerde code over te typen. Ook is er public domain software verkrijgbaar die de Google Authenticator ondersteunen.
TUNIX/Authenticatie Service maakt voor twee factor authenticatie gebruik van de TUNIX/KeyApp. Dat betekent een compleet kant-en-klaar opgeleverd product, inclusief support, een API voor webservices, plugins voor diverse toepassingen met groot gebruikersgemak. Software ontwikkelaars implementeren tweestapsverificatie eenvoudig door één simpele regel code toe te voegen aan de software. Twee-factor-authenticatie bij RDP implementeren is voor een systeembeheerder ook heel eenvoudig uit te voeren via Active Directory of LDAP.
De eindgebruiker is ook blij, want die hoeft nooit meer codes meer over te typen! Door een simpele druk op de OK-knop, je vingerafdruk of gezichtsscan verstuurt de TUNIX/KeyApp automatisch door de sterk geëncrypteerde codes door.
Veiligheid binnen Google Authenticator en TUNIX/KeyApp
Google authenticator review
Iedere toepassing die gebruikt maakt van de ingebouwde Google Authenticator-functie moet beschikking hebben over alle shared secrets. Dat is onveilig! Je bouwt namelijk een security gevoelige sleutel in je toepassing die toegang heeft tot al je wachtwoorden en creëert daarmee dus een goudmijn voor hackers.
Google Authenticator maakt gebruik van cryptografische beveiligingstechnieken. In het verleden is gebleken dat die kraakbaar zijn, dus dit vereist permanente bewaking en onderhoudswerk. Los daarvan is het bij de Google Authenticator vrijwel onmogelijk om een nieuw algoritme in te bouwen, of te switchen wanneer zo’n probleem zich voor zou doen.
Wil je gebruik maken van deze twee factor authenticatie moet je wel eerst zelf een enrollment mechanisme inbouwen om het shared secret (denk aan gezichtsherkenning of vingerafdruk) te waarborgen, waarmee je de identiteit van de gebruiker kan vast stellen. Laat dit nou exact de zwakke plek zijn waar hackers met alle liefde in lopen te porren.
Een ander heikel punt is dat de sleutels van de Google Authenticator makkelijk zijn te klonen. Het probleem van klonen is dat een gebruiker zich niet meer bewust is op welke apparaten hij die sleutel heeft opgeslagen en wie daarover kan beschikken. In het ergste geval kan het zelfs zo zijn dat de gebruiker de activerings-QR-code ergens laat slingeren.
TUNIX/Authenticatie Service review
Het gebruik van de TUNIX/Authenticatie Service is niet gekoppeld aan een toepassing waar je op moet inloggen, maar vindt plaats door het installeren en activeren van de TUNIX/KeyApp. Dat gebeurt door middel van een uniek ontworpen en beveiligd proces binnen de veilige omgeving van TUNIX. De toepassing hoeft daarbij zelf geen verificatie uit te voeren en beschikt in tegenstelling tot de Google Authenticator niet over alle sleutels die je authenticatie-methode kwetsbaar maken. De sleutel zit achter slot en grendel in een beveiligde keystore van TUNIX/Authenticatie Service. Deze sleutel kan te allen tijde worden ingetrokken en vervangen mocht dat nodig zijn.
Met de TUNIX/KeyApp is de telefoon van de eindgebruiker meteen geprepareerd voor ALLE applicaties en toepassingen die de TUNIX/Authenticatie Service gebruiken, zonder dat deze toepassing over alle sleutelgegevens van de gebruiker beschikt. Bij teveel mislukte inlogpogingen binnen een korte tijd voert het user-blocks uit. Blijkt het toch een vertrouwde gebruiker? Binnen de GUI kan de beheerder zulke blokkades altijd bekijken en zelf gemakkelijk opheffen.
Ook bestaat bij de TUNIX/Authenticatie Service – in tegenstelling tot Google Authenticator – wel de mogelijkheid om goed beveiligde SMS-authenticatie toe te passen. De nadelen van twee factor authenticatie bij SMS-berichten zijn ook mij bekend. Maar voor bijvoorbeeld het verzenden van SMS-bericht bij het opnieuw activeren van een account hebben we verschillende ingenieuze manieren ontwikkeld waardoor je SMS-authenticatie toch met maximale beveiliging kunt toepassen.
Voor de ontwikkelaars onder jullie
Met TUNIX/Authenticatie Service kun je niet alleen moeiteloos 2FA toevoegen, maar beschik je ook meteen gratis over een omvangrijke toolbox voor authenticatie, autorisatie, 2FA en identity-management. Deze door TUNIX ondersteunde toolbox maakt het eenvoudig om gebruikersbeheer van van de toepassing te splitsen, zodat je daar niet voor elke toepassing weer een oplossing moet bedenken. Je kunt met de toolbox zelfs eenvoudig de enrollment van RFC6238 sleutels met QR-codes (zoals onder meer gebruikt door Google Authenticator) in jouw toepassing inbouwen en JWT’s voor sessie management genereren.
Kies voor een Nederlandse partij
Laten we niet vergeten dat Google een Amerikaans multinational is en blijft, waarbij de service die het verleent altijd valt onder het Amerikaans recht en op maatwerk klantwensen uitvoeren niet tot de opties behoort. Waarschijnlijk ken je ook de Amerikaanse Cloud Act; deze wet zorgt dat de regering van de VS onvoorwaardelijk informatie mag opvragen bij Amerikaanse bedrijven. En dat zijn inderdaad ook de gegevens bij Google over de Google Authenticator en z’n gebruikers.
TUNIX daarentegen is het Nederlandse alternatief, waar wij altijd open staan voor nieuwe wensen van onze klanten. En bij de twee factor authenticatie van TUNIX en de TUNIX/KeyApp opereren we gewoon vanuit Nederland en daardoor valt alle aanwezige data onder het Europees recht. TUNIX is ISO 27001 gecertificeerd en biedt als Nederlandse partij maximale compliance voor de AVG / GDPR.
Hopelijk was het verhelderend om de verschillende opties en ervaringen op het gebied van 2FA bij Google Authenticator en TUNIX/KeyApp te lezen. Mocht je hier eens over willen sparren, of heb je nog een aanvulling of toevoeging dan sta ik altijd open voor een gesprek. Laat mij natuurlijk ook weten als we voor jullie aan de slag kunnen!