Valt het doek over sms-authenticatie?
Multifactor-authenticatie wordt door bijna alle instanties gebruikt als een optioneel beveiligingsmechanisme. Sociale media, zoals Facebook of LinkedIn, kunnen je bijvoorbeeld een code sturen via sms, die je moet ingeven bij het inloggen. Dat is veiliger omdat een eventuele hacker zonder je telefoon niet kan inloggen op jouw account, ook al heeft hij je wachtwoord al wel bemachtigd.
Waterdicht is zo’n maatregel echter niet, volgens het Amerikaanse National Institute of Standards and Technology (NIST). Het instituut maakte deze week nieuwe richtlijnen bekend, waarin gewaarschuwd wordt voor multifactor-authenticatie via sms.
Het grootste bezwaar is dat sms’en onderschept kunnen worden, zo blijkt uit de richtlijnen: “Vanwege het risico dat sms-berichten onderschept of omgeleid kunnen worden, moeten nieuwe systemen alternatieve authenticatie-mechanismen grondig overwegen.” Meer en meer cybercriminelen vinden immers een manier om de sms met de geheime code te ontfutselen. Bijvoorbeeld kunnen cybercriminelen met de juiste malware binnenkomende sms-berichten doorsturen naar een ander toestel.
[related_article id=”167404″]
Nu NIST bekendmaakt dat multifactor-authenticatie via sms niet meer aanraadt, kan dat voor een omwenteling zorgen. Tot nu toe is sms een gevestigde waarde als extra authenticatie, omdat het goedkoop is en zo goed als iedereen een sms kan ontvangen. Alternatieven zijn er al wel, maar blijven in de minderheid. Een sterke app bijvoorbeeld, zoals Google authenticator, kan de rol van sms overnemen, en persoonlijke inlogcodes genereren. Andere opties zijn authenticatiemethodes die een beroep doen op externe hardware of biometrische info, zoals je vingerafdruk.