Nieuws

NIST verklaart ongeschiktheid sms voor 2-factor authenticatie

zaterdag 30 juli 2016, 09:14 door Redactie, 12 reacties

Het Amerikaanse National Institute of Standards and Technology (NIST) heeft verklaard waarom sms niet meer geschikt is voor twee-factor authenticatie en op den duur moet worden uitgefaseerd. NIST, een organisatie die onder andere verantwoordelijk is voor het opstellen van beveiligingsrichtlijnen voor de Amerikaanse overheid, kwam onlangs in het nieuws vanwege een nieuwe conceptrichtlijn voor digitale authenticatie.

Daarin werd gesteld dat sms voor twee-factor authenticatie uiteindelijk moet worden vervangen. Veel organisaties maken gebruik van sms voor twee-factor authenticatie, bijvoorbeeld voor het versturen van TAN-codes bij internetbankieren of het inloggen met DigiD. Volgens het NIST spelen er twee factoren een rol waarom sms in de toekomst niet langer geschikt is. De eerste reden is dat sms-berichten niet alleen meer alleen naar telefoons worden verstuurd.

Door de opkomst van voip en andere ip-gebaseerde diensten kunnen sms-berichten ook via internet binnenkomen. Een aanvaller hoeft in dit geval niet meer de fysieke controle over de telefoon van de gebruiker te hebben om de extra inlogcode te onderscheppen. Het NIST stelt dan ook dat overheidsinstanties eerst moeten controleren of het opgegeven nummer echt van een mobiele telefoon is. Voip is voor digitale authenticatie dan ook niet geschikt, aldus de organisatie.

Maar zelfs als het sms-bericht naar een echte telefoon gaat biedt dit nog niet voldoende zekerheid, wat de tweede reden is. Onderzoekers hebben namelijk aangetoond dat het steeds eenvoudiger en goedkoper wordt om grote hoeveelheden sms-berichten te onderscheppen of door te sturen. "Hoewel een wachtwoord gekoppeld met sms een hoger beschermingsniveau biedt ten opzichte van alleen een wachtwoord, heeft het niet de kracht van authenticatie via het apparaat zelf", aldus de uitleg van het NIST. Het kan dan bijvoorbeeld gaan om een app om een extra inlogcode mee te genereren.

Het NIST stelt verder dat het advies er vooral op is gericht om sms in de toekomst uit te faseren en overheidsinstanties hier nu al op voor te bereiden. "Hoewel sms een populaire en gemakkelijke keuze is, moeten overheidsinstanties rekening houden met de beveiligingsgevolgen van sms als een tweede factor. Het gebruik van sms naar mobiel als tweede factor is minder effectief dan sommige andere aanpakken, maar effectiever dan een enkele factor."

Server Hillary Clinton-campagne gehackt

Google beschermt gebruikers zoekmachine met HSTS

Reacties (12)

30-07-2016, 10:30 door karma4

Ik het altijd al verbazend gevonden dat er een app en SMS op het zelfde toestel nog steeds als 2FA gezien wordt (ING)
Smartphone open/weg = alles open. Het dogma dat SMS een ander kanaal zou zijn is een weerbarstige. Zelf nadenken en evalueren is een moeilijke. Mooi dat NIST er nu mee komt. Ben benieuwd naar vernieuwing via Vasco of Gemalto.

30-07-2016, 12:11 door Anoniem

Door karma4: Ik het altijd al verbazend gevonden dat er een app en SMS op het zelfde toestel nog steeds als 2FA gezien wordt (ING)
Smartphone open/weg = alles open. Het dogma dat SMS een ander kanaal zou zijn is een weerbarstige. Zelf nadenken en evalueren is een moeilijke. Mooi dat NIST er nu mee komt. Ben benieuwd naar vernieuwing via Vasco of Gemalto.

Het gemak dient de mens, niet het verstand.

30-07-2016, 13:09 door Anoniem

Wat is het alternatief dan?

Apart apparaatje zeker. Die de gebruiker mag betalen.

Mafkikkers.

30-07-2016, 13:47 door johanw

Vergeet ook niet dat in de USA speelt dat er geen duidelijke scheiding is tussen mobiele nummers en vaste nummers qua nummerplan: in Nederland is alles dat met 06 begint mobiel, daar kan elk nummer mobiel of vast zijn.

Een goed alternatief zou bv. een app als Google Authenticator zijn, of een los apparaat zoals de meeste banken gebruiken. Er is een reden dat de ING de meest aangevallen bank is in Nederland.

30-07-2016, 14:49 door karma4 - Bijgewerkt: 30-07-2016, 15:44

Door Anoniem: Wat is het alternatief dan?
Apart apparaatje zeker. Die de gebruiker mag betalen.
Mafkikkers.

Een apparaatje is in België al standaard met hun e-id benadering. Zou ze geen mafkikkers noemen, vooruitstrevender dan in NL met het BSN als geheim en overal verplicht achterlaten waanzin gedoe.
In plaats van negatief te zijn kun je ook met opties komen, denk aan:
- omdraaien van dat foto-QR code Rabo naar iets met foto maken van wat je bezit. (bankaart nummer met codes).
Die foto maken moet vanuit de app komen omdat zij moeten garanderen dat het echt een foto is en niet is wat al ergens opgeslagen staat. De opdracht kan zijn om op een specifiek deel in te zoomen.
- Verficatie van locatie Gps smartphone en telco Imei of ander specifiek kenmerk vanuit een andere bron.
- video /scan gezicht vinder of wat dan ook. (met de eis dat het een echte opname moet zijn)
- stemherkenning. Nee niet die gericht zijn op verstaan van woorden, ombouwen naar herkenning persoon.
- Wifi en blue tooth tracking (atm pin)
- keyboard-keystroke dynamics
- nfc (als van bankpas)
- bewegingsensors
Elke optie kan leiden tot een 2fa van iets wat je weet / hebt / bent

30-07-2016, 14:52 door Anoniem

Door Anoniem: Wat is het alternatief dan?

Apart apparaatje zeker. Die de gebruiker mag betalen.

Mafkikkers.

Wat is daar mis mee? De mensheid gaat helemaal los op gimmicks, want alles is cool en geweldig en nodig om erbij te horen, maar als het dient om problemen te voorkomen dan is het opeens te veel? Vind je het soms niet leuk om niet bestolen te worden?

De meeste Nederlandse banken werken al vele jaren met een apart apparaatje. Voor wat minder veeleisende toepassingen heb je dingen als U2F-tokens, een open standaard die door meerdere fabrikanten geïmplementeerd wordt en die zo in elkaar zit dat hetzelfde token een onbeperkt aantal diensten kan ondersteunen, zonder van de een of andere provider afhankelijk te zijn. Kost nog geen twee tientjes, al was de verkrijgbaarheid in Nederland (met iDeal kunnen betalen) de laatste keer dat ik ernaar keek bedroevend.

30-07-2016, 16:41 door Anoniem

Ehhh...
De smartphoneapp van ING maakt geen gebruik van SMS.

30-07-2016, 19:27 door Anoniem

"Hoewel een wachtwoord gekoppeld met sms een hoger beschermingsniveau biedt ten opzichte van alleen een wachtwoord, heeft het niet de kracht van authenticatie via het apparaat zelf", aldus de uitleg van het NIST

Wil men dus dat "het apparaat zelf" gaat bewijzen dat jij werkelijk jij bent, en dat dit zoveel veiliger zou zijn?
Is dat nou lulkoek van NIST of lijkt het maar zo?
Of is het soms de bedoeling om smartphones zoveel mogelijk keihard te registreren op naam?

31-07-2016, 07:22 door karma4 - Bijgewerkt: 31-07-2016, 12:30

Door Anoniem:
Ehhh...
De smartphoneapp van ING maakt geen gebruik van SMS.

Waar zit dan de invulling van 2fa? Herkenbaar en controleerbaar voor de gebruiker.
Openheid eerlijkheid is met betrouwbaarheid een eerste stap.

Voor SMS:
Ik reageerde op de noodzaak van het aanschaffen van een extra apparaat om 2fa te krijgen. Een smartphone is geavanceerd genoeg om die noodzaak te ondervangen naast SMS (jaren 90) kan hij intussen veel meer.
Voor de app:
Hoe zit het met 2fa? Ooit met een eerdere versie gingen studenten/onderzoekers er naar kijken. Resultaat: ontbrak controle over de encryptie over het dataverkeer.
https://www.security.nl/posting/35810/%22Beveiligingslek+ING+app+zwaar+overdreven%22

31-07-2016, 09:56 door Anoniem

Door karma4:

Door Anoniem:
Ehhh...
De smartphoneapp van ING maakt geen gebruik van SMS.

Waar zit dan de invulling van 2fa? Herkenbaar en controleerbaar voor de gebruiker.
Openheid eerlijkheid is met betrouwbaarheid een eerste stap.

Ooit met een eerdere versie gingen studenten/onderzoekers er naar kijken. Resultaat: ontbrak controle over de encryptie over het dataverkeer.
https://www.security.nl/posting/35810/%22Beveiligingslek+ING+app+zwaar+overdreven%22

Het topic was de geschiktheid van SMS als tweede kanaal.

31-07-2016, 15:09 door karma4

Door Anoniem:
Het topic was de geschiktheid van SMS als tweede kanaal.

Klopt mijn laatste post al wat eerder daarop specifiek aangepast.

18-05-2017, 17:07 door Anoniem

Door karma4:

Door Anoniem: Wat is het alternatief dan?
Apart apparaatje zeker. Die de gebruiker mag betalen.
Mafkikkers.

....
- Verficatie van locatie Gps smartphone en telco Imei of ander specifiek kenmerk vanuit een andere bron.
- video /scan gezicht vinder of wat dan ook. (met de eis dat het een echte opname moet zijn)
- stemherkenning. Nee niet die gericht zijn op verstaan van woorden, ombouwen naar herkenning persoon.
- Wifi en blue tooth tracking (atm pin)
- keyboard-keystroke dynamics
- nfc (als van bankpas)
- bewegingsensors

Big Brother shit

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer