Er wordt al een aantal jaren gesteld dat tweestapsverificatie via sms niet betrouwbaar genoeg is. Microsoft riep dit al in 2020, maar al jaren eerder werd er in binnen- en buitenland gewaarschuwd dat bijvoorbeeld codes zijn te onderscheppen. Wordt het niet eens tijd om hier dan z.s.m. mee te stoppen of worden de risico's overdreven?
Bedrijfssoftwareleverancier Afas liet recent weten per 1 januari 2022 een punt te zetten achter het inloggen via sms als een manier van tweefactorauthenticatie. Het bedrijf vraagt klanten over te stappen op de authenticatiemogelijkheid in de Afas-app. Loopt Afas hier niet voor de troepen vooruit?
Want sms-login als extra vorm van beveiliging vindt nog op grote schaal plaats, onder andere bij de overheid. Veel voorbeelden van misbruik lijken er ook niet te zijn; het is eerder ransomware dat de klok slaat. Tweefactorauthenticatie is ook niet onfeilbaar maar werpt een extra buffer op tegen cybercriminelen.
Wat vindt u: moet het besluit van Afas massaal navolging krijgen of gaat het hier meer om theoretische risico’s en dien je als gebruiker gewoon alert te zijn op pogingen van criminelen om je sms-codes of persoonlijke inloginformatie af te troggelen?
Afas loopt niet op de troepen vooruit maar laat gewoon zien dat ze met beveiliging bezig zijn maar ook zij zijn er al laat mee… of de rest van de industrie ligt nog te slapen..
Het is echt ongekend dat SMS als 2de factor in de authenticatie nog steeds wordt gebruikt. Al vanaf 2018 wordt er heftig voor gewaarschuwd. Blijkbaar zijn de CISO’s nog niet bewust, worden de risico’s nog niet zo hoog ingeschat of zijn er op dit moment alleen nog maar een beperkt aantal incidenten zodat de noodzaak (nog) niet wordt ingezien.
Deze noodzaak zal snel worden ingezien als er een grote hack in het nieuws komt maar dan is het te laat want er zijn al talloze tooltjes en apps vrij verkrijgbaar waarmee je SMS-jes kan onderscheppen. Er zijn zelfs al portals in de lucht waar dit als een managed service wordt aangeboden.
Dieptechnische kennis is niet nodig en met wat simpele social engineering trucjes erbij zullen onze criminele vrienden snel mogelijkheden zien.. Wat mij betreft mag er massaal aan de bel getrokken worden!
Afas heeft inderdaad een punt. Bij het gebruik van een Authenticatie app is er slechts éénmaal gegevensuitwisseling op het moment dat de verificatiecode, eventueel met behulp van een QR-code, wordt uitgewisseld met de Authenticatie app.
Daarna is wordt er vanuit de internetsite geen code meer verstuurd maar lokaal aangemaakt. Dat is per definitie al een stuk veiliger dan het onversleuteld versturen van een code via SMS.
Er zijn al voorbeelden getoond waarbij het mogelijk is gebleken dat SMS berichten kunnen worden onderschept. Als een smartphone gebruiker deze code ook nog laat zien op zijn beginscherm, dan wordt de veiligheid daardoor nog verder ondermijnd.
Helaas is de security nog steeds een ondergeschoven kindje van veel ICT projecten binnen organisaties en bedrijven. In verband met de kosten is security ondergeschikt aan functionaliteit.
Een duidelijke wetgeving met hoge sancties of boetes voor nalatigheid zou veel oplossen.