image

Microsoft: stop met gebruik van multifactorauthenticatie via sms

donderdag 12 november 2020, 11:51 door Redactie, 14 reacties

Openbare telefoonnetwerken zijn ongeschikt voor authenticatie en er moet dan ook geen gebruik worden gemaakt van multifactorauthenticatie via sms. Een betere oplossing is app-gebaseerde authenticatie, zo stelt Alex Weinert, directeur Identity Security bij Microsoft, in een blogposting.

Volgens Weinert is multifactorauthenticatie (MFA) een absolute must, maar dan niet via openbare telefoonnetwerken. Van de verschillende opties voor MFA is dat namelijk de minst veilige, zo laat de directeur Identity Security weten. Hij stelt dat er verschillende nadelen kleven aan het gebruik van bijvoorbeeld sms voor het ontvangen van one-time passwords. Het sms-formaat is niet veranderbaar, waardoor innovaties op het gebied van bruikbaarheid en security erg beperkt zijn.

Sms maakt ook geen gebruik van encryptie, waardoor berichten onversleuteld worden verstuurd. Zo hebben criminelen in het verleden van het SS7-protocol gebruikgemaakt om mobiele tan-codes te onderscheppen. Daarnaast zijn er andere risico's, zoals sim-swapping. Daarbij weten criminelen het telefoonnummer van het slachtoffer op hun eigen simkaart te krijgen. Dit kan door medewerkers van telecomproviders te social engineeren, te phishen of om te kopen.

"Helaas zijn analoge telefoniesystemen (PSTN) niet honderd procent betrouwbaar", merkt Weinert op. Daardoor kan het voorkomen dat berichten niet aankomen. Een ander probleem met sms is de beperkte hoeveelheid informatie die aan de gebruiker kan worden gecommuniceerd. Hierdoor is phishing een serieuze dreiging, gaat Weinert verder. "We willen de gebruiker zoveel context als mogelijk geven. Sms en spraakformaten beperken onze mogelijkheid om de context te bieden waaronder de authenticatie is aangevraagd."

De beste oplossing voor MFA is volgens Weinert het gebruik van een app. Daarmee is versleutelde communicatie mogelijk en kan er meer context worden geboden.

Image

Reacties (14)
12-11-2020, 12:02 door Anoniem
De beste oplossing voor MFA is volgens Weinert het gebruik van een app. Daarmee is versleutelde communicatie mogelijk en kan er meer context worden geboden.
En uiteraard wat extra gegevens verzameld worden van de telefoon. Net zoals bijvoorbeeld de DigiD app dat ook doet. Nergens voor nodig trouwens, gezien bestaande open standaarden zoals TOTP en FIDO2/WebAuthn precies dezelfde rol vullen. Maar dan zonder de privacy bezwaren van weer een app. De toekomst moet dus niet "app based" zijn, maar "open standard based".
12-11-2020, 12:31 door Anoniem
Jammer dat de Microsoft Authenticator-app geen context geeft aan het authenticatieverzoek (geen locatie / IP, geen doeltoepassing etc.). Klikken op goedkeuren zonder te weten waarvoor. Jullie hebben veel werk te doen Microsoft.
12-11-2020, 12:36 door [Account Verwijderd] - Bijgewerkt: 12-11-2020, 12:41
Daarnaast zijn er andere risico's, zoals sim-swapping. Daarbij weten criminelen het telefoonnummer van het slachtoffer op hun eigen simkaart te krijgen. Dit kan door medewerkers van telecomproviders te social engineeren, te phishen of om te kopen.

Ja, zo hebben ze ondertussen de gegevens van iedereen... Man wat een waanzin weer. Nou, uitmesten die hap dan maar want ik heb geen device voor een app.

De stropdassen zullen vast weer trots zijn op hun mongole besluiten.

Edit: Er is nog een mogelijkheid om met een 2e email-adres in te loggen. Storm in een glas water dus...
12-11-2020, 12:56 door Anoniem
Ik wil helemaal geen smart foon. Ik ben zelf al smart.
Dus nee, geen app. Niks waar dat op kan draaien. Laat maar.
12-11-2020, 13:17 door Anoniem
Nou ben ik een behoorlijke leek op dit gebied.
Maar ik heb het idee dat deze meneer voor eigen parochie aan het preken is:
Nl het aan de man brengen van deze app.

"waardoor innovaties op het gebied van bruikbaarheid en security erg beperkt zijn"
Welke innovaties? en wil ik die wel?
Het gaat mij toch alleen maar om het ontvangen van de code?
Daarvoor hoef ik toch niet mee context als nodig is te ontvangen?
nl.alleen maar de reden eaarom deze code wordt verstuurd en met de code zelf.
Simpeler( = lees meer bruikbaar)

Analoge telefoonsystemen niet 100% betrouwbaar.
Digitale wel dan,want ik wordt regelmatig gebeld door gesppofte nummers.
Zegt U het maar.
Ik geloof al dat gezwam niet.
12-11-2020, 13:35 door Anoniem
Het gaat er om dat SMS niet geschikt genoeg is voor een veilige manier om inlog codes te verzenden.

Het staat los van privacy.

Het beste om je gegevens veilig te stellen is via de app op een ander apparaat (tweede smartphone)

En als privacy zo belangrijk is gebuik dan geen Google of FB.
12-11-2020, 13:36 door Erik van Straten
De beste oplossing voor MFA is volgens Weinert het gebruik van een app.
Dat is niet de veiligste oplossing.

Dat schrijft Weinert zelf, uit https://techcommunity.microsoft.com/t5/azure-active-directory-identity/it-s-time-to-hang-up-on-phone-transports-for-authentication/ba-p/1751752:
Door Alex Weinert: [...]
Phishing is a serious threat vector, and we want to empower the user with as much context as possible (or, using Windows Hello or FIDO, make phishing impossible) – SMS and voice formats restrict our ability to deliver the context under which authentication is being requested.

Authentication Evolved
Ok, to recap: you’re GOING to use MFA. Which MFA? Well, for most users on their mobile devices, we believe the right answer is app-based authentication. For us, that means the Microsoft Authenticator. The Authenticator uses encrypted communication, allowing bi-directional communication on authentication status, and we’re currently working on adding even more context and control to the app to help users keep themselves safe. In just the last year, we’ve added app lock, hiding notifications from the lock screen, sign-in history in the app, and more – and this list will have grown by the time you plan your deployment, and keep growing while SMS and voice keep sitting still.
[...]
De Microsoft Authenticator app helpt NIET tegen phishing. In aanvulling op algemene TOTP apps (zoals Authy), die getallen genereren die je moet overtikken, kan Microsoft Authenticator ook direct met servers van Microsoft communiceren om te bevestigen dat jij, in het bezit van jouw smartphone, op dat moment op jouw Microsoft account wenst in te loggen.

Echter, als jij (na een phishing mail) op een fake MitM Microsoft site jouw gebruikersnaam en wachtwoord hebt ingevoerd, maakt het geen klap uit dat jij, via een gescheiden kanaal (tussen Microsoft Authenticator en een server van Microsoft), bevestigt dat jij wil inloggen: die MitM aanvaller lift dan gewoon mee en kan in jouw account (d.w.z. zonder dat die aanvaller iets met jouw smartphone en app te maken heeft). Welliswaar slechts eenmalig, maar dat is bijna altijd genoeg om flinke schade te veroorzaken.

Een slechte zaak dat "specialisten" eerst schrijven dat je "Windows Hello" of "FIDO" zou moeten gebruiken om phishing onmogelijk te maken, en vervolgens Microsoft Authenticator adviseren - een soort MFA die zelfs niet veiliger is -om phishing te voorkomen- dan 1FA gebaseerd op een lang random wachtwoord uit een goede wachtwoordmanager.

Maar ja, gebruikers moeten en zullen naar Microsoft's cloud verkassen - ook gebruikers waarvoor "Windows Hello" of "FIDO" een brug te ver is. En ondertussen regent het gehackte Microsoft cloud-accounts.
12-11-2020, 13:56 door Anoniem
Hypocriet van Microsoft.

Mijn vader moest over op MS Office 2019 home student welke ik begin oktober voor mijn vader heb besteld en kort geleden samen met hem heb geïnstalleerd op Windows 10 home. Hiervoor moest een Microsoft Account worden aangemaakt. Verplicht.

Omdat Microsoft het provider e-mail adres wat hij wilde gebruiken niet accepteerde (dit e-mail adres is ouder als gmail zelf), moest het op zijn oude iPhone (die van mij niet op het internet mag, behalve voor Facetime en voor updates die niet meer komen).

Dus vorige maand kon je nog een MFA account aanmaken bij Microsoft met een SMS als bevestiging. Gelukkig heb ik een wachtwoord voor mijn vader gemaakt zodat het tenminste sterk is (minimaal acht tekens en twee groepen uit hoofd-/kleine letters, cijfers en symbolen IIRC). De SMS die je krijgt is vier cijfers lang en komt uit +44.
12-11-2020, 15:56 door Anoniem
Is een beetje een "cylindersloten zijn ongeschikt voor het beveiligen van woningen" uitspraak.
Natuurlijk het is te kraken maar men loopt niet zomaar naar binnen, en daar is het voor bedoeld.
Iedere mogelijke beveiliging is een afweging tussen gemak en veiligheid en bijna altijd is er wel een scenario of werkwijze te bedenken waar het niet in voorziet.
Maar dat betekent niet dat het meteen ook maar ongeschikt is.
12-11-2020, 20:46 door Erik van Straten
Door Anoniem: Is een beetje een "cylindersloten zijn ongeschikt voor het beveiligen van woningen" uitspraak.
Natuurlijk het is te kraken maar men loopt niet zomaar naar binnen, en daar is het voor bedoeld.
Iedere mogelijke beveiliging is een afweging tussen gemak en veiligheid en bijna altijd is er wel een scenario of werkwijze te bedenken waar het niet in voorziet.
Maar dat betekent niet dat het meteen ook maar ongeschikt is.
Mocht dat een reactie op mijn bijdrage zijn, en je het advies van Alex Weinert met deursloten wilt vergelijken, dan zegt meneer Weinert: stop met het gebruik van het oude type sloten met roestige sleutel met baard zonder inkepingen! By the way, er lopen inbrekers met klopsleutels rond. Vervang dus jouw oude roestige slot door een goedkope cylinder, want zonder klopsleutels komen inbrekers niet meer binnen bij jou...
13-11-2020, 19:10 door Anoniem
Door Erik van Straten:
De beste oplossing voor MFA is volgens Weinert het gebruik van een app.
Dat is niet de veiligste oplossing.
...

De Microsoft Authenticator app helpt NIET tegen phishing....

...

Een slechte zaak dat "specialisten" eerst schrijven dat je "Windows Hello" of "FIDO" zou moeten gebruiken om phishing onmogelijk te maken, en vervolgens Microsoft Authenticator adviseren - een soort MFA die zelfs niet veiliger is -om phishing te voorkomen- dan 1FA gebaseerd op een lang random wachtwoord uit een goede wachtwoordmanager.

Maar ja, gebruikers moeten en zullen naar Microsoft's cloud verkassen - ook gebruikers waarvoor "Windows Hello" of "FIDO" een brug te ver is. En ondertussen regent het gehackte Microsoft cloud-accounts.
Duidelijk gevalletje van belangenverstrengeling.

Het onderscheppen van SMS berichten is wel mogelijk, maar in de praktijk nog knap lastig. Ten eerste moet je al met een IMSI-catcher aan de slag en dus ook binnen het radiobereik - dus een binnen paar honderd meter - van de telefoon zijn. Bovendien is het een issue die alleen op 1G en 2G werkt, de beveiliging van het meer gangbare 3G t/m 5G zit een stuk beter in elkaar. Nu moet ik wel zeggen dat ik de allerlaatste ontwikkelingen op dit specifieke gebied niet heb bijgehouden, dus mogelijk kan er tegenwoordig wat meer. Maar dan nog is het onderscheppen van SMS in een geconditioneerde lab-situatie een stuk eenvoudiger dan 'in het wild'.

Er zijn talloze manieren die 100 keer eenvoudiger zijn om onrechtmatig toegang tot een account te krijgen. Kijk alleen al naar het 'succes' van de Whatsapp fraudes die we afgelopen maanden voorbij zien komen. Met een goed verhaal kom je sneller en goedkoper verder dan met geavanceerde techniek.

Hoeveel voorvallen zijn er bekend waarbij fraude is gepleegd door het onderscheppen van een SMS bericht?

Voor de gemiddelde burger is SMS helemaal prima. Alleen als je écht bijzonder bent, denk aan medewerkers van veiligheidsdiensten, hooggeplaatste functionarissen bij bedrijven met kostbaar intellectueel eigendom (ASML; farmaceuten, etc) is SMS wellicht onvoldoende. Maar voor dit soort mensen zijn authenticatie apps van Amerikaanse bedrijven al helemaal uit den boze ; dan weet je in elk geval zeker dat je je intellectueel eigendom aan de Amerikaanse 'collega's' overhandigd:
https://www.vpro.nl/argos/lees/nieuws/2020/de-cryptoleaks-van-cia-en-bnd.html
http://retro.nrc.nl/W2/Lab/Echelon/inhoud.html

Bij dit soort personen zullen aanvallers bereid zijn om tienduizenden, zo niet honderdduizenden euro's te investeren om toegang tot gevoelige informatie te krijgen. Het zal mij dan ook niet verbazen als de NSA achter dit soort berichten zit.
14-11-2020, 19:45 door Erik van Straten
Door Anoniem: Hoeveel voorvallen zijn er bekend waarbij fraude is gepleegd door het onderscheppen van een SMS bericht?
Dat weet ik niet, vermoedelijk weinig in Nederland. Maar SIM-swapping-aanvallen worden wel degelijk gerapporteerd, vooral in relatie tot diefstal van cryptovaluta (zoals Bitcoins). En daar blijft het dan niet altijd bij.

Dus ja, je hebt gelijk dat het argument om van SMS/voice 2FA over te stappen op Microsoft Authenticator, flauwe kul is, vooral voor Truus aan de keukentafel. Maar als je wat te verbergen hebt, zoals privacygevoelige gegevens van (veel) derden, is de stap van SMS/voice naar MS Authenticator nauwelijks een verbetering te noemen.

Simpelweg omdat het barst van de phishing sites, waaronder vele die zelfs een geldig Microsoft certificaat gebruiken - waaronder https://*.web.core.windows.net/ en https://*.blob.core.windows.net. Kennelijk schijnen gebruikers te moeten ruiken dat het wel OK is om hun e-mail-adres, wachtwoord -en eventuele 2FA code- in te vullen op https://*.microsoftonline.com/. Bizar gewoon.

Wie bij Microsoft verzint al die stomme domeinnamen?
15-11-2020, 12:37 door Anoniem
Door Anoniem:
De beste oplossing voor MFA is volgens Weinert het gebruik van een app. Daarmee is versleutelde communicatie mogelijk en kan er meer context worden geboden.
En uiteraard wat extra gegevens verzameld worden van de telefoon. Net zoals bijvoorbeeld de DigiD app dat ook doet. Nergens voor nodig trouwens, gezien bestaande open standaarden zoals TOTP en FIDO2/WebAuthn precies dezelfde rol vullen. Maar dan zonder de privacy bezwaren van weer een app. De toekomst moet dus niet "app based" zijn, maar "open standard based".
Welke data verzameld de DigiD app dan nog meer? Geen onderbuikgevoel s.v.p.
16-11-2020, 14:24 door root
Sms heeft wel een belangrijk voordeel: het maakt het delen van accounts een stuk lastiger, omdat de code maar naar één telefoon kan worden gestuurd.

Met de Authenticator App kun je je account delen door meerdere apparaten te registreren voor één account.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.