Het oude sms kan niet langer goed dienst doen voor twee-factor authenticatie. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
De oude telecomtechniek sms (short message service) doet al vele jaren dienst, maar wordt steeds verder teruggedrongen. Alternatieve communicatiediensten voor tekst groeien tegen de klippen op, mede doordat ze meer mogelijkheden bieden. Soms wordt sms sluw ‘ontweken’, zoals in het geval van Apple’s iMessage dat bij wederzijds iOS-device geen sms-bericht verstuurt, maar een eigen versleutelde iMessage.
Naast mens-tot-mens communicatie wordt sms ook gebruikt voor extra controle van identiteit bij gevoelige log-ins: twee-factor authenticatie (2FA). Dit doet dienst voor overboekingen bij internetbankieren, maar ook voor inloggen bij alsmaar belangrijkere online-accounts. Google heeft een eerste stap gezet om sms uit te faseren, ten gunste van een moderner alternatief dat dan beter beveiligd is én meer mogelijkheden biedt. Sms is vorig jaar al ongeschikt voor 2FA verklaard door het NIST. hst voldoent niet meer voor die beveiligingsmaatregel. Wat vind jij?
Het betreft hier een one-time password dat uiteraard slechts kort geldig is dus lijkt het me niet echt interessant welk transportmechanisme er gebruikt wordt. SMS is nog steeds een betrouwbaar medium maar als iemand het leuk vindt om de code via Whatsapp te ontvangen lijkt me dat geen bezwaar, uiteraard moet er (per gebruiker) een keuze worden gemaakt welk medium gebruikt gaat worden.
Even kijken of ik dit goed begrijp: een eenmalig wachtwoord in een sms via je eigen provider is misschien te onderscheppen of te vervalsen, dus dat moet wel onveilig zijn.
Wat me nu wordt geboden als oplossing is ook een eenmalig wachtwoord, maar dan in een appje via de servers van een partij die a) bekend staat als het grootste spionagebedrijf in de wereld, b) een reputatie heeft niet al te correct om te gaan met data van anderen en c) valt onder de Amerikaanse wetgeving.
Hmmmm…. ja dat lijkt me inderdaad een enorme verbetering. Not.
Ik ben het eens met deze stelling en vind dat SMS niet meer volstaat als authenticatiemiddel.
Kortweg zie ik de volgende problemen:
– Veiligheid. Er zijn heel wat aanvallen bekend op SMS-authenticatie. Die aanvallen zijn gebaseerd op malware op smartphones die SMS-berichten onderschept, of gebaseerd op het uitbuiten van kwetsbaarheden in het SS7 netwerk protocol. De inhoud van SMS-berichten is niet gëncrypteerd.
– Gebruiksgemak. Andere technologiën, zoals push notification, zijn veel gemakkelijker te gebruiken. Bij SMS moet je de inhoud van het bericht overtypen, bij push notification moet je gewoon op een knop op je smartphone duwen.
– Betrouwbaarheid. SMS berichten komen soms te laat, of helemaal niet, aan bij de bestemmeling.
– Compliance. Het is mogelijk dat SMS-authenticatie voor betalingen niet zal toegelaten zijn onder PSD2.
Ik ben het eens met deze stelling en vind dat SMS niet meer volstaat als authenticatiemiddel.
Kortweg zie ik de volgende problemen:
– Veiligheid. Er zijn heel wat aanvallen bekend op SMS-authenticatie. Die aanvallen zijn gebaseerd op malware op smartphones die SMS-berichten onderschept, of gebaseerd op het uitbuiten van kwetsbaarheden in het SS7 netwerk protocol. De inhoud van SMS-berichten is niet gëncrypteerd.
– Gebruiksgemak. Andere technologiën, zoals push notification, zijn veel gemakkelijker te gebruiken. Bij SMS moet je de inhoud van het bericht overtypen, bij push notification moet je gewoon op een knop op je smartphone duwen.
– Betrouwbaarheid. SMS berichten komen soms te laat, of helemaal niet, aan bij de bestemmeling.
– Compliance. Het is mogelijk dat SMS-authenticatie voor betalingen niet zal toegelaten zijn onder PSD2.
Het hangt er vanaf waarvoor. We gebruiken SMS om het bezit van het opgegeven telefoonnummer te verifiëren en we sturen een email om het email-adres te controleren. Verder leveren we een x509-client certificaat voor authenticatie (al of niet in combinatie met een of beide van bovenstaande twee te gebruiken).
Bij mij werkt dat hele SMS gedoe niet en provider en Digid wijzen naar elkaar om het te verhelpen. NOT. Ik wil alleen nog maar mijn bankpas gebruiken voor authenticatie. Zou dat lukken denk je?