Online diensten beveiligd met sms-authenticatie zijn kwetsbaarder wanneer ze gebruikt worden op een smartphone dan via een standaard pc. Aanvallers kunnen misbruik maken van de bundeling van telefonie en internet in één apparaat. Geautomatiseerde aanvallen worden hiermee in de toekomst mogelijk. Dat zegt Ton Slewe, adviseur bij het computerincident-responsteam van de Nederlandse overheid, Govcert.
'Met de komst van smartphones verandert het beveiligingsmodel van online diensten die via sms-authenticatie zijn beveiligd. Bij een smartphone met mobiel internet en de (standaard) mogelijkheid voor het ontvangen van sms-berichten, komen de vroeger gescheiden kanalen voor authenticatie (sms) en de onlinedienst samen in één apparaat. Dit levert een extra risico op,' legt Slewe uit.
Dit risico geldt ook voor internetbankierdiensten, mits de authenticatie van betalingen verloopt via sms. Hoe dan ook, leveranciers van online diensten er volgens Slewe verstandig aan om online verrichtingen die via sms-authenticatie zijn beveiligd, vanaf smartphones extra te controleren. 'Dat kan bijvoorbeeld door in de backoffice mobiele transacties te filteren en te controleren of deze verrichtingen binnen iemands normale gedrag vallen.'
Bezorgdheid nog niet nodig
Volgens de beveiligingsexpert is er vooralsnog echter nog niet 'direct reden tot bezorgdheid. De beveiliging met de sms-berichten is normaal gesproken maar een van de beveiligingsmaatregelen die dienstaanbieders hebben genomen.'
Hij voegt daaraan toe: 'Bovendien vindt het merendeel van de aanvallen op online transacties nog steeds plaats via standaard-pc's met vast internet. Het is dus niet zo dat het op dit moment onveilig zou zijn om onlinediensten af te nemen met een smartphone, maar het is wel iets waarmee in de toekomst rekening moet worden gehouden .'
We kunnen 2 verschillende sms authenticatie oplossingen scheiden: time base en event based.
Tevens is de opmars gaande van de digipass for mobile welke als java appliacite op je pda werkt en dus geen sms is. Voordeel is geen veriabele kosten meer zoals bij SMS One time passwords.
ik blijf gewoon een cardreader gebruiken voor online transactie en de dp4mobile voor mijn email of ssl vpn authenticatie