Tweestapsverificatie

Gebruik jij voor je online accounts tweestapsverificatie? We doen het vaak, maar is het wel zo veilig? Microsoft raadt het in ieder geval af.

Microsoft komt vandaag met een opvallende oproep: het bedrijf waarschuwt voor tweestapsverificatie via sms en raadt af om het nog te gebruiken. Dat schijft Alex Weinert in zijn meest recente blogpost voor de softwaregigant. Weinert was eerder de grootste voorstander van tweestapsverificatie, maar moet nu terugkomen op de veiligheid van die technologie.

Eind 2019 schreef Weinert, ook voor Microsoft, dat tweefactorauthenticatie zo’n 99 procent van alle phishing en andere inbraakpogingen op Microsoft-accounts moet tegenhouden. Die technologie doet zijn werk en Weinert raadde iedereen aan om 2FA te gaan gebruiken om zijn Microsoft-account te beveiligen.

Tweestapsverificatie via Microsoft Authenticator

Nu komt de man terug op zijn eerdere statements. Hij geeft toe dat die multifactorauthenticatie dan toch niet zo veilig is als eerst gedacht. Statements die al jaren de ronde doen maar waar nooit echt voldoende aandacht aan werd gegeven. Maar waarom is die tweestapsverificatie via sms dan zo tricky?

De technologie om via sms met een unieke code je account te beveiligen, werkt met publicily switched telephone networks of pstn’s. Volgens Weinert zijn dat vandaag de meest onveilige tweestaps-tools die er zijn. Die pstn’s zijn namelijk heel kwetsbaar voor hackers om bepaalde info te gaan stelen. Zo is het mogelijk om via je gsmnummer een account of zelfs toestel over te nemen. De voorbeelden die we hier aanhaalden zijn al verschillende keren voorgekomen in de V.S. In Europa zijn daar tot vandaag nog geen meldingen van geweest.

Wat moet je dan wel gebruiken?

Alex Weinert schrijft in zijn blogpost dat authenticatie-apps zoals Microsoft Authenticator & Google Authenticator veiligere opties zijn. Ook ons Belgische Itsme is daar trouwens een goed voorbeeld van. Weinert raadt het gebruik van tweestapsverificatie via sms ten stelligste af en probeert gebruikers aan te sporen op de veiligere authenticatie-apps.

Wie dat niet vertrouwt kan ook kiezen voor een offline authenticatielseutel.

2 REACTIES

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here