PrivacyNotes beta

Help & FAQ/Beveiliging & privacy

Waarom is er geen tweefactorauthenticatie (2FA)?

Omdat het een bewuste afweging is, geen omissie. De bekende soort 2FA, een code per sms of een authenticator-app, bestaat om zwakke, door mensen gekozen wachtwoorden te schragen, en leunt op een gedeeld geheim en een herstelroute op een server. Dat is precies het aanvalsoppervlak dat het herstelzinmodel weghaalt: je apparaat bewijst dat het de sleutel heeft door een uitdaging te ondertekenen, dus onze servers krijgen alleen ooit een publieke sleutel en een handtekening, nooit de herstelzin en nooit een wachtwoordhash. Er een code op schroeven zou juist de machinerie op de server terugbrengen die dit ontwerp wil vermijden, zonder iets toe te voegen tegen raden, want 128 bits heeft die deur al gesloten.

Het enige soort tweede factor dat echt iets zou toevoegen, is een phishingbestendige, zoals een hardwaresleutel of een passkey, want de echte resterende risico's zijn niet raden maar phishing, malware, en een herstelzin die gestolen wordt of over je schouder wordt meegelezen. Op een apparaat dat ontgrendeld blijft rondslingeren, zijn het slot op de app (PIN) en biometrisch ontgrendelen het lokale vangnet.

Verder geldt: de herstelzin is de sleutel, dus maak er een back-up van op de dag dat je je account aanmaakt: bewaar hem in een betrouwbare wachtwoordmanager, of print hem of schrijf hem op en berg die kopie veilig op. Plak hem nooit ergens anders in dan in de app zelf.