Waarom u geen SMS moet gebruiken voor authenticatie met twee factoren (en wat u in de plaats daarvan moet gebruiken)
Beveiligingsdeskundigen raden aan om, waar mogelijk, gebruik te maken van tweefactorauthenticatie om uw online accounts te beveiligen. Veel services schakelen standaard naar sms-verificatie, verzenden codes via sms naar uw telefoon wanneer u zich probeert aan te melden. Maar sms-berichten hebben veel beveiligingsproblemen en zijn de minst veilige optie voor authenticatie met twee factoren.
Eerste dingen eerst: SMS is nog steeds beter dan helemaal geen twee-factorenauthenticatie!
Terwijl we hier de zaak tegen SMS uiteenzetten, is het belangrijk dat we eerst één ding duidelijk maken: het gebruik van sms is beter dan helemaal geen gebruik te maken van two-factor authenticatie.
Wanneer u geen tweefactorauthenticatie gebruikt, heeft iemand alleen uw wachtwoord nodig om in te loggen op uw account. Wanneer u two-factor authenticatie met SMS gebruikt, moet iemand zowel uw wachtwoord verkrijgen als toegang krijgen tot uw sms-berichten om toegang te krijgen tot uw account. SMS is veel veiliger dan helemaal niets.
Als sms je enige optie is, gebruik dan sms. Als je echter wilt weten waarom beveiligingsdeskundigen aanbevelen om sms te vermijden en wat we aanbevelen, lees dan verder.
SIM-swaps staan aanvallers toe uw telefoonnummer te stelen
Zo werkt sms-verificatie: wanneer u zich probeert aan te melden, stuurt de service een sms-bericht naar het mobiele nummer dat u eerder hebt verstrekt. U krijgt die code op uw telefoon en voert deze in om in te loggen. Die code is alleen goed voor eenmalig gebruik.
Het klinkt redelijk veilig. Immers, alleen jij hebt je telefoonnummer en iemand moet je telefoon hebben om de code te zien, toch? Helaas niet.
Als iemand je telefoonnummer kent en toegang heeft tot persoonlijke gegevens, zoals de laatste vier cijfers van je sofinummer, kan dit gemakkelijk worden gevonden dankzij de vele bedrijven en overheidsinstellingen die klantgegevens hebben gelekt, kunnen ze contact opnemen met je telefoon bedrijf en verplaats uw telefoonnummer naar een nieuwe telefoon. Dit staat bekend als een "SIM-wissel" en is hetzelfde proces dat u uitvoert wanneer u een nieuw apparaat koopt en uw telefoonnummer ernaar verplaatst. De persoon zegt dat jij het bent, biedt de persoonlijke gegevens en je mobiele telefoonbedrijf stelt zijn telefoon in met je telefoonnummer. Ze sturen de sms-berichtcodes op hun telefoon naar uw telefoonnummer.
We hebben meldingen gezien van deze gebeurtenis in het Verenigd Koninkrijk, waar aanvallers het telefoonnummer van een slachtoffer hebben gestolen en hebben gebruikt om toegang te krijgen tot de bankrekening van het slachtoffer. De staat New York heeft ook gewaarschuwd voor deze oplichterij.
In de kern is dit een aanval op social engineering die afhankelijk is van het bedriegen van je mobiele telefoonbedrijf. Maar uw mobiele telefoonbedrijf zou iemand niet in de eerste plaats toegang moeten kunnen geven tot uw beveiligingscodes!
SMS-berichten kunnen op veel manieren worden onderschept
Het is ook mogelijk om op sms-berichten te snuffelen. Politieke dissidenten en journalisten in repressieve landen zullen voorzichtig willen zijn, omdat de regering sms-berichten kan kapen terwijl ze via het telefoonnetwerk worden verzonden. Dit is al gebeurd in Iran, waar Iraanse hackers naar verluidt een aantal Telegram-Messenger-accounts hebben gecompromitteerd door de sms-berichten te onderscheppen die toegang hebben verschaft tot die accounts.
Aanvallers hebben ook misbruik gemaakt van problemen in SS7, het verbindingssysteem dat wordt gebruikt voor roaming, om sms-berichten op het netwerk te onderscheppen en elders te leiden. Er zijn veel andere manieren om berichten te onderscheppen, bijvoorbeeld door het gebruik van nep-gsm-torens. SMS-berichten zijn niet ontworpen voor beveiliging en mogen daar niet voor worden gebruikt.
Met andere woorden, een geavanceerde aanvaller met een beetje persoonlijke informatie kan uw telefoonnummer kapen om toegang te krijgen tot uw online accounts en vervolgens die accounts gebruiken om te proberen uw bankrekeningen leeg te maken, bijvoorbeeld. Dat is de reden waarom het National Institute of Standards and Technology niet langer het gebruik van sms-berichten voor authenticatie met twee factoren aanbeveelt.
Het alternatief: codes op uw apparaat genereren
Een authenticatiesysteem met twee factoren dat niet afhankelijk is van SMS is superieur, omdat het bedrijf van de mobiele telefoon iemand anders geen toegang tot uw codes kan geven. De meest populaire optie hiervoor is een app zoals Google Authenticator. We raden echter Authy aan, omdat het alles doet wat Google Authenticator doet en meer.
Apps zoals deze genereren codes op uw apparaat. Zelfs als een aanvaller je mobiele telefoonbedrijf in de val lokte om je telefoonnummer naar zijn telefoon te verplaatsen, zouden ze je beveiligingscodes niet kunnen krijgen. De gegevens die nodig zijn om deze codes te genereren, blijven veilig op uw telefoon.
U hoeft ook geen codes te gebruiken. Diensten zoals Twitter, Google en Microsoft testen app-gebaseerde tweefactorauthenticatie waarmee u kunt inloggen op een ander apparaat door de aanmelding in hun app op uw telefoon te autoriseren.
Er zijn ook fysieke hardwaretokens die u kunt gebruiken. Grote bedrijven zoals Google en Dropbox hebben al een nieuwe standaard geïmplementeerd voor op hardware gebaseerde twee-factor authenticatietokens met de naam U2F. Deze zijn allemaal veiliger dan te vertrouwen op uw mobiele telefoonbedrijf en het verouderde telefoonnetwerk.
Vermijd indien mogelijk SMS voor authenticatie met twee factoren. Het is beter dan niets en lijkt handig, maar het is meestal het minst veilige twee-factorenauthenticatieschema dat u kunt kiezen.
Helaas dwingen sommige diensten je om sms te gebruiken. Als u zich hier zorgen over maakt, kunt u een Google Voice-telefoonnummer maken en deze geven aan services waarvoor sms-verificatie is vereist. U kunt zich vervolgens aanmelden bij uw Google-account, dat u kunt beveiligen met een veiligere tweefactorauthenticatiemethode, en de beveiligde berichten bekijken op de Google Voice-website of -app. Stuur berichten van Google Voice gewoon door naar uw huidige mobiele nummer.