Direct stoppen met tweestapsverificatie via sms?

Dit artikel delen:

Er wordt al een aantal jaren gesteld dat tweestapsverificatie via sms niet betrouwbaar genoeg is. Microsoft riep dit al in 2020, maar al jaren eerder werd er in binnen- en buitenland gewaarschuwd dat bijvoorbeeld codes zijn te onderscheppen. Wordt het niet eens tijd om hier dan z.s.m. mee te stoppen of worden de risico's overdreven?

Bedrijfssoftwareleverancier Afas liet recent weten per 1 januari 2022 een punt te zetten achter het inloggen via sms als een manier van tweefactorauthenticatie. Het bedrijf vraagt klanten over te stappen op de authenticatiemogelijkheid in de Afas-app. Loopt Afas hier niet voor de troepen vooruit?

Want sms-login als extra vorm van beveiliging vindt nog op grote schaal plaats, onder andere bij de overheid. Veel voorbeelden van misbruik lijken er ook niet te zijn; het is eerder ransomware dat de klok slaat. Tweefactorauthenticatie is ook niet onfeilbaar maar werpt een extra buffer op tegen cybercriminelen.

Wat vindt u: moet het besluit van Afas massaal navolging krijgen of gaat het hier meer om theoretische risico's en dien je als gebruiker gewoon alert te zijn op pogingen van criminelen om je sms-codes of persoonlijke inloginformatie af te troggelen?

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Afas loopt niet op de troepen vooruit maar laat gewoon zien dat ze met beveiliging bezig zijn maar ook zij zijn er al laat mee... of de rest van de industrie ligt nog te slapen..

Het is echt ongekend dat SMS als 2de factor in de authenticatie nog steeds wordt gebruikt. Al vanaf 2018 wordt er heftig voor gewaarschuwd. Blijkbaar zijn de CISO's nog niet bewust, worden de risico's nog niet zo hoog ingeschat of zijn er op dit moment alleen nog maar een beperkt aantal incidenten zodat de noodzaak (nog) niet wordt ingezien.

Deze noodzaak zal snel worden ingezien als er een grote hack in het nieuws komt maar dan is het te laat want er zijn al talloze tooltjes en apps vrij verkrijgbaar waarmee je SMS-jes kan onderscheppen. Er zijn zelfs al portals in de lucht waar dit als een managed service wordt aangeboden.

Dieptechnische kennis is niet nodig en met wat simpele social engineering trucjes erbij zullen onze criminele vrienden snel mogelijkheden zien.. Wat mij betreft mag er massaal aan de bel getrokken worden!

Afas heeft inderdaad een punt. Bij het gebruik van een Authenticatie app is er slechts éénmaal gegevensuitwisseling op het moment dat de verificatiecode, eventueel met behulp van een QR-code, wordt uitgewisseld met de Authenticatie app.
Daarna is wordt er vanuit de internetsite geen code meer verstuurd maar lokaal aangemaakt. Dat is per definitie al een stuk veiliger dan het onversleuteld versturen van een code via SMS.

Er zijn al voorbeelden getoond waarbij het mogelijk is gebleken dat SMS berichten kunnen worden onderschept. Als een smartphone gebruiker deze code ook nog laat zien op zijn beginscherm, dan wordt de veiligheid daardoor nog verder ondermijnd.

Helaas is de security nog steeds een ondergeschoven kindje van veel ICT projecten binnen organisaties en bedrijven. In verband met de kosten is security ondergeschikt aan functionaliteit.
Een duidelijke wetgeving met hoge sancties of boetes voor nalatigheid zou veel oplossen.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-12-31T10:26:00.000Z Rik Sanders
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.