16Jul

Waarom u geen SMS moet gebruiken voor authenticatie met twee factoren( en wat u in de plaats daarvan moet gebruiken)

Beveiligingsexperts raden aan om tweefactorauthenticatie te gebruiken om uw online accounts waar mogelijk te beveiligen. Veel services staan ​​standaard in voor sms-verificatie, verzenden codes via sms naar je telefoon wanneer je probeert in te loggen. Maar sms-berichten hebben veel beveiligingsproblemen en zijn de minst veilige optie voor tweefactorauthenticatie.

Eerste dingen eerst: SMS is nog steeds beter dan helemaal geen twee-factorenauthenticatie!

Terwijl we hier de zaak tegen SMS uiteenzetten, is het belangrijk dat we eerst één ding duidelijk maken: het gebruik van sms is beter dan helemaal geen gebruik te maken van two-factor authenticatie.

Wanneer u geen tweefactorauthenticatie gebruikt, heeft iemand alleen uw wachtwoord nodig om in te loggen op uw account. Wanneer u authenticatie met twee factoren met SMS gebruikt, moet iemand zowel uw wachtwoord verkrijgen als toegang krijgen tot uw tekstberichten om toegang te krijgen tot uw account. SMS is veel veiliger dan helemaal niets.

Als sms je enige optie is, gebruik dan sms. Als je echter wilt weten waarom beveiligingsdeskundigen aanbevelen om sms te vermijden en wat we in plaats daarvan aanbevelen, lees dan verder.

SIM-swaps Sta toe dat aanvallers je telefoonnummer stelen

Zo werkt sms-verificatie: wanneer je probeert in te loggen, stuurt de service een sms-bericht naar het mobiele telefoonnummer dat je eerder hebt verstrekt. U krijgt die code op uw telefoon en voert deze in om in te loggen. Die code is alleen goed voor eenmalig gebruik.

Het klinkt redelijk veilig. Immers, alleen jij hebt je telefoonnummer en iemand moet je telefoon hebben om de code te zien, toch? Helaas niet.

Als iemand je telefoonnummer kent en toegang heeft tot persoonlijke informatie zoals de laatste vier cijfers van je sofinummer, kan dit gemakkelijk worden gevonden dankzij de vele bedrijven en overheidsinstanties die klantgegevens hebben gelekt, kunnen ze contact opnemen met jetelefoonbedrijf en verplaats uw telefoonnummer naar een nieuwe telefoon. Dit staat bekend als een "SIM-wissel" en is hetzelfde proces dat u uitvoert wanneer u een nieuw apparaat koopt en uw telefoonnummer ernaar verplaatst. De persoon zegt dat jij het bent, biedt de persoonlijke gegevens en je mobiele telefoonbedrijf stelt zijn telefoon in met je telefoonnummer. Ze sturen de sms-berichtcodes op hun telefoon naar uw telefoonnummer.

We hebben meldingen gezien van deze gebeurtenis in het Verenigd Koninkrijk, waar aanvallers het telefoonnummer van een slachtoffer hebben gestolen en hebben gebruikt om toegang te krijgen tot de bankrekening van het slachtoffer. De staat New York heeft ook gewaarschuwd voor deze oplichterij.

In de kern is dit een aanval op social engineering die afhankelijk is van het bedriegen van je mobiele telefoonbedrijf. Maar uw mobiele telefoonbedrijf zou iemand niet in de eerste plaats toegang moeten kunnen geven tot uw beveiligingscodes!

SMS-berichten kunnen op veel manieren worden onderschept

Het is ook mogelijk om op SMS-berichten te snuffelen. Politieke dissidenten en journalisten in repressieve landen zullen voorzichtig willen zijn, omdat de regering sms-berichten kan kapen terwijl ze via het telefoonnetwerk worden verzonden. Dit is al gebeurd in Iran, waar Iraanse hackers naar verluidt een aantal Telegram-Messenger-accounts hebben gecompromitteerd door de sms-berichten te onderscheppen die toegang tot die accounts hebben verschaft.

Aanvallers hebben ook misbruik gemaakt van problemen in SS7, het verbindingssysteem dat wordt gebruikt voor roaming, om sms-berichten op het netwerk te onderscheppen en elders door te sturen. Er zijn veel andere manieren om berichten te onderscheppen, onder meer door het gebruik van nep-gsm-torens. Sms-berichten waren niet ontworpen voor beveiliging en mogen daar niet voor worden gebruikt.

Met andere woorden, een geavanceerde aanvaller met een beetje persoonlijke informatie kan uw telefoonnummer kapen om toegang te krijgen tot uw online accounts en vervolgens die accounts gebruiken om te proberen uw bankrekeningen leeg te maken, bijvoorbeeld. Dat is de reden waarom het National Institute of Standards and Technology niet langer het gebruik van sms-berichten voor authenticatie met twee factoren aanbeveelt.

Het alternatief: codes op uw apparaat genereren

Een twee-factorenauthenticatieschema dat niet afhankelijk is van sms is superieur, omdat het bedrijf van de mobiele telefoon iemand anders geen toegang tot uw codes kan geven. De meest populaire optie hiervoor is een app zoals Google Authenticator. Wij raden echter Authy aan, omdat het alles doet wat Google Authenticator doet en meer.

-apps zoals deze genereren codes op uw apparaat. Zelfs als een aanvaller je mobiele telefoonbedrijf in de val lokte om je telefoonnummer naar zijn telefoon te verplaatsen, zouden ze je beveiligingscodes niet kunnen krijgen. De gegevens die nodig zijn om deze codes te genereren, blijven veilig op uw telefoon.

U hoeft ook geen codes te gebruiken. Diensten zoals Twitter, Google en Microsoft testen app-gebaseerde tweefactorauthenticatie waarmee u kunt inloggen op een ander apparaat door de aanmelding in hun app op uw telefoon te autoriseren.

Er zijn ook fysieke hardwaretokens die u kunt gebruiken. Grote bedrijven zoals Google en Dropbox hebben al een nieuwe standaard geïmplementeerd voor op hardware gebaseerde twee-factor authenticatietokens met de naam U2F.Deze zijn allemaal veiliger dan te vertrouwen op uw mobiele telefoonbedrijf en het verouderde telefoonnetwerk.

Vermijd indien mogelijk sms-berichten voor authenticatie met twee factoren. Het is beter dan niets en lijkt handig, maar het is meestal het minst veilige twee-factorenauthenticatieschema dat u kunt kiezen.

Helaas, sommige diensten dwingen je om sms te gebruiken. Als u zich hier zorgen over maakt, kunt u een Google Voice-telefoonnummer maken en deze geven aan services waarvoor sms-verificatie is vereist. U kunt zich vervolgens aanmelden bij uw Google-account, dat u kunt beveiligen met een veiligere tweefactorauthenticatiemethode, en de beveiligde berichten bekijken op de Google Voice-website of -app. Stuur gewoon geen berichten van Google Voice door naar uw huidige mobiele nummer.