Voor beheer is SMS-authenticatie niet meer voldoende

Zes vragen en antwoorden over 2-factor authenticatie

Voor beheer is SMS-authenticatie niet meer voldoende

SMS-authenticatie is de meest gebruikte variant van 2-factor authenticatie, maar SMS-authenticatie is niet onfeilbaar. Online discussieplatform Reddit raadt het gebruik van SMS-authenticatie af, en moedigt gebruikers aan om 2-factor authenticatie met token te gebruiken. Vorige week bleek dat een hacker toegang heeft gekregen tot het online platform door een authenticatie-SMS te onderscheppen. Hoe veilig is inloggen met SMS-authenticatie? Zes vragen en antwoorden.

1. Is het nieuw dat authenticatie via SMS niet 100 procent veilig is?

Volgens principal IT Security Expert Francisco Dominguez van Fox-IT is het al langer bekend dat SMS onderschept kan worden. ‘’Gezien de technische vooruitgang wordt het steeds makkelijker om SMS te onderscheppen. De vraag is natuurlijk hoe makkelijk het wordt, want ook providers zitten niet stil. Maar we moeten niet vergeten dat SMS onversleuteld via de lucht wordt verstuurd, via verschillende punten.’’

2. Op welke manieren zijn SMS-berichten te onderscheppen?

Volgens Dominguez zijn er verschillende methoden om SMS-berichten te onderscheppen, zoals bijvoorbeeld de SIM-swap, waarbij een kwaadwillende via een winkel een nieuwe SIM-kaart verkijgt. Een andere methode is via social engineering een nummer omzetten naar een andere provider.

3. Is SMS dan eigenlijk niet meer veilig om te gebruiken als authenticatiemethode?

Volgens Dominguez is SMS niet per definitie onveilig, en het is in ieder geval veiliger dan geen authenticatie gebruiken. Voor belangrijke gegevens raadt hij een andere authenticatiemethode aan.

4. Wat wordt dan wel als een veilige authenticatiemethode gezien?

Een betere beveiliging is er via een authenticatie-applicatie op de telefoon, zoals Google Authenticator. Dominguez noemt Universal 2nd Factor, ook afgekort U2F, de veiligste methode tot nu toe. ‘’Die authenticatiemethode beschermt goed tegen phishingaanvallen. Omdat bij het inlogproces ook de URL wordt gecontroleerd.’’

5. Is het instellen van een andere authenticatiemethode makkelijk voor een beheerder?

Voor beheerders van een applicatie vergt het aanpassingen en extra werkzaamheden. Volgens Dominguez is het lastigste echter om de gebruikers aan de 2-factor te krijgen.

6. In hoeverre is 2-factor SMS veilig voor beheertools?

Dominguez raadt aan om de inlogpagina voor beheertools niet aan het internet te hangen, U2F-tokens te gebruiken, en anders een authenticatieapp.

Nu bij Fox-IT

Neem contact op

+31 (0) 15 284 79 99

fox@fox-it.com

Delft