De zeven geitjes en multifactor-authenticatie

We analyseren het sprookjes De wolf en de zeven geitjes met betrekking tot cybersecurity

Onze voorouders hadden dan misschien geen computers, maar ze wisten absoluut het een en ander over het veilig houden van kinderen. We gebruikten Roodkapje eerder al om uit te leggen hoe Man-in-the-Middle-aanvallen, handshakes en phishing werken. Nu gaan we het hebben over two-factor-authenticatie (2FA) en biometrische beveiliging. Dit keer gebruiken we het wat minder bekende sprookje De wolf en de zeven geitjes.

De wolf en de zeven geitjes

Het concept authenticatie wordt heel duidelijk weergegeven in het sprookje De wolf en de zeven geitjes. Voor degenen die niet bekend zijn met dit verhaal: het gaat over een familie van geiten, bestaande uit een moeder en haar zeven kinderen. Als de moeder op pad gaat om eten te halen, zegt ze tegen haar kinderen dat ze de wolf niet mogen binnenlaten (die zal ze opeten) en leert ze hen hoe ze hem kunnen herkennen aan het verschil in stem en de kleur van zijn vacht. Ze vertrekt en de wolf klopt op hun deur. Omdat hij van de kinderen hoort dat zijn stem te laag is, verandert hij deze om ze te laten geloven dat hij hun moeder is. De jonge geitjes herinneren zich echter dat ze onder de deur door moesten kijken en zien de donkere, harige poten van de wolf. Ze laten hem opnieuw niet binnen. De wolf vermomt vervolgens zijn poten door ze met bloem te bestrooien om ze wit te maken, en zo op die van moeder geit lijken. Uiteindelijk zijn de geitjes overtuigd (en worden ze opgegeten). In deze video wordt het hele sprookje verteld:

Cybercriminelen eten hun slachtoffers normaal gesproken niet op, dus we zijn vooral geïnteresseerd in het eerste gedeelte, waar de wolf probeert om het huis van de geitjes binnen te komen. Laten we eens stap voor stap kijken wat er hier echt gebeurt.

  1. De moedergeit gaat het bos in nadat ze haar kinderen heeft gewaarschuwd om niet open te doen voor vreemden.
  2. De wolf nadert het huis, zegt dat hij de moeder is, en vraagt om binnengelaten te worden. De geitjes merken gelijk dat de wolf niet als hun moeder klinkt, dus ze doen niet open.

Dit is een voorbeeld van biometrische authenticatie. Hoewel de wolf had geleerd wat hij moest zeggen (de wachtwoordzin), was het weten van de juiste woorden alleen niet genoeg. In dit geval moet de beestachtige “gebruiker” om het huis van de geitjes binnen te komen ook de sprekersverificatie doorstaan. Dat is de tweede factor.

  1. De wolf verandert zijn stem om zachter te klinken (de methodes die hij daarvoor gebruikt variëren per verteller van het sprookje). Nadat hij dit doet, doorstaat hij met succes de sprekersverificatie. Maar de jonge geitjes weigeren hem opnieuw de toegang, omdat ze de grijze poot van een wolf onder de deur door zagen.

Oftewel: om het huis binnen te komen is het weten van wachtwoord niet genoeg, en zelfs na het doorstaan van de stemtest lukt het nog niet. Het is ook nodig om de juiste vingerafdruk poot te hebben. Dit is in principe een andere biometrische factor. Zelfs als iemand erin slaagt om de stem van de huiseigenaar te imiteren, kan alleen een gebruiker met nóg een onderscheidend kenmerk het huis binnen.

  1. De wolf vermomt zijn poten met bloem en probeert opnieuw toegang te verkrijgen, en dit keer lukt het.

Dit is een goed voorbeeld van een hackerstruc voor het omzeilen van een multifactor-authenticatie. Hier worden de biometrische data van de stem en de poot vervalst. Zulke scenario’s zijn erg realistisch en worden door scammers gebruikt in de echte wereld. Dit sprookje helpt niet alleen om aan kinderen uit te leggen wat multifactor-authenticatie is, maar toont tevens aan dat biometrische beveiliging wellicht niet zo betrouwbaar is als het lijkt.

Cybersecurity-sprookjes voor kinderen

Zoals u ziet, kunnen sprookjes geweldige voorbeelden vormen om cybersecurity aan uw kind uit te leggen. Maak de juiste analogie, en een langdradige uitleg of algemene verboden zijn niet langer nodig. Wij zijn er vrij zeker van dat Roodkapje en De wolf en de zeven geitjes lang niet de enige sprookjes zijn waar belangrijke lessen uit te trekken zijn over kwaadaardige trucs en manieren om uzelf te beschermen in de digitale wereld. En nu we toch bezig zijn: kijk nog eens goed naar de favoriete tekenfilms van uw kind. Wellicht zijn daar ook nog heimelijke (of overduidelijke) lessen over cybersecurity in te vinden?

Tips