De federale cybersecurityautoriteit van Duitsland dringt er bij grote webmailproviders op aan om standaard tweefactorauthenticatie in te schakelen. De richtlijnen komen van het Bundesamt für Sicherheit in der Informationstechnik, dat een nieuw whitepaper heeft gepubliceerd waarin wijdverspreide hiaten in consumentenrekeningbescherming worden beschreven. Volgens het agentschap zijn veel authenticatiefuncties pas zichtbaar na het doorlopen van meerdere menu’s, en de meeste blijven uitgeschakeld tenzij gebruikers ze actief inschakelen.
Recente enquêtegegevens van de BSI tonen aan dat slechts ongeveer 34% van de gebruikers tweefactorauthenticatie heeft ingeschakeld op hun e-mailaccounts. De instantie vindt het aantal te laag gezien de frequentie van accountovernames die verband houden met phishing, hergebruik van inloggegevens en zwakke wachtwoorden. Webmailaccounts blijven een primair doelwit voor aanvallers omdat ze vaak dienen als herstelkanalen voor een breed scala aan online diensten.
BSI-aanbevelingen voor standaardbescherming
In het whitepaper raadt de BSI aan dat providers standaard sterke authenticatiemethoden activeren in plaats van te vertrouwen op gebruikersactie. De voorgestelde methoden omvatten tweefactorauthenticatie, toegangssleutels en biometrische inlogopties. Aanbieders worden ook gevraagd ervoor te zorgen dat wachtwoordregels voldoen aan de huidige beveiligingsnormen en dat herstelmechanismen bestand zijn tegen pogingen van aanvallers om opgeslagen informatie te manipuleren. De instantie benadrukt de noodzaak van duidelijke instructies, voorspelbare stappen en meerdere herstelkanalen.
De BSI merkte op dat herstelprocessen vaak falen wanneer aanvallers contactgegevens of gekoppelde informatie wijzigen. Om dit risico aan te pakken, adviseert de instantie aanbieders om herstelstromen te ontwerpen die de identiteit verifiëren via betrouwbare signalen en niet uitsluitend vertrouwen op verouderde contactinformatie. Het doel is om zowel accountlockout als ongeautoriseerde toegang te voorkomen.
Caroline Krohn, hoofd digitale consumentenbescherming bij de BSI, zei dat veilige e-mailsystemen fundamenteel zijn voor digitale participatie. Zij verklaarde dat beschermende maatregelen alleen effectief zijn wanneer ze begrijpelijk, interoperabel en geschikt zijn voor dagelijks gebruik.
De oproep tot standaardbescherming sluit aan bij bredere inspanningen binnen Duitsland om de cybersecurityvereisten voor digitale diensten te versterken. De BSI merkte op dat zichtbare beveiligingsfuncties helpen vertrouwen op te bouwen en ondersteunen wat functionarissen digitale soevereiniteit noemen. Beveiligingsonderzoekers zeiden dat gecompromitteerde e-mailaccounts aanvallers in staat stellen verdere inbraken te starten door wachtwoorden te resetten, spam te verspreiden of gevangen inloggegevens over platforms te hergebruiken.
De instantie erkende dat de standaardactivatie van sterke authenticatie uitdagingen kan opleveren voor aanbieders die veiligheid moeten balanceren met gebruiksgemak. Sommige gebruikers kunnen extra inlogstappen als een overlast zien. Beveiligingsanalisten stellen dat deze zorgen worden overschaduwd door de voordelen van het verhogen van de basisbescherming voor alle gebruikers. Aanvallers blijven e-mailaccounts aanvallen omdat deze waardevolle toegangspoorten tot persoonlijke en financiële gegevens blijven.
Consumenten worden aangemoedigd om tweefactorauthenticatie te activeren op alle belangrijke accounts, zelfs voordat aanbieders hun standaardinstellingen aanpassen. Gebruikers wordt ook geadviseerd te controleren of de contactgegevens van het herstel correct zijn, accounts te monitoren op ongebruikelijke doorstuurregels en te vermijden uitsluitend te vertrouwen op SMS-codes, die kunnen worden onderschept.
De aanbevelingen van de BSI zullen dienen als referentiepunt voor lopende discussies over verplichte veiligheidsmaatregelen in Europa. Hoe providers reageren, bepaalt of standaard tweefactorauthenticatie een standaardverwachting wordt voor e-maildiensten in de regio.