Verder naar navigatie Doorgaan naar hoofdinhoud Ga naar de voettekst

Voor beheer is SMS-authenticatie niet meer voldoende

6 vragen en antwoorden over 2-factor authenticatie

07 augustus 2018

SMS-authenticatie is de meest gebruikte variant van 2-factor authenticatie, maar SMS-authenticatie is niet onfeilbaar. Online discussieplatform Reddit raadt het gebruik van SMS-authenticatie af, en moedigt gebruikers aan om 2-factor authenticatie met token te gebruiken. Vorige week bleek dat een hacker toegang heeft gekregen tot het online platform door een authenticatie-SMS te onderscheppen. Hoe veilig is inloggen met SMS-authenticatie? Zes vragen en antwoorden.

  1. Is het nieuw dat authenticatie via SMS niet 100 procent veilig is?

Volgens Francisco Dominguez, principal IT Security Expert bij Fox-IT, is het al langer bekend dat SMS-berichten onderschept kunnen worden. ‘’Gezien de technische vooruitgang wordt het steeds makkelijker om SMS te onderscheppen. De vraag is natuurlijk hoe makkelijk het wordt, want ook providers zitten niet stil. Maar we moeten niet vergeten dat SMS via verschillende punten onversleuteld via de lucht wordt verstuurd.’’

  1. Op welke manieren zijn SMS-berichten te onderscheppen?

Volgens Dominguez zijn er verschillende methoden om SMS-berichten te onderscheppen, zoals bijvoorbeeld de SIM-swap, waarbij een kwaadwillende via een winkel een nieuwe SIM-kaart verkijgt. Een andere methode is om via social engineering een nummer om te zetten naar een andere provider.

  1. Is SMS dan eigenlijk niet meer veilig om te gebruiken als authenticatiemethode?

Volgens Dominguez is SMS niet per definitie onveilig. Het is in ieder geval veiliger dan geen authenticatie gebruiken. Voor belangrijke gegevens raadt hij een andere authenticatiemethode aan.

  1. Wat wordt dan wel als een veilige authenticatiemethode gezien?

Een betere beveiliging is mogelijk met een authenticatie-applicatie op de telefoon, zoals Google Authenticator. Dominguez noemt Universal 2nd Factor, ook afgekort U2F, de veiligste methode tot nu toe. ‘’Die authenticatiemethode biedt goede bescherming tegen phishingaanvallen, omdat bij het inlogproces ook de URL wordt gecontroleerd.’’

  1. Is het instellen van een andere authenticatiemethode makkelijk voor een beheerder?

Voor beheerders van een applicatie vergt dit aanpassingen en extra werkzaamheden. Volgens Dominguez is het lastigste echter om de gebruikers aan de 2-factor te krijgen.

  1. In hoeverre is 2-factor SMS veilig voor beheertools?

Dominguez raadt aan om de inlogpagina voor beheertools niet aan het internet te hangen, U2F-tokens te gebruiken, en anders een authenticatie-app.

Samenvatting van het artikel  ‘Voor beheer is SMS-authenticatie niet meer voldoende’ – Rian van Heur, AG Connect, 7 August 2018