Openbare telefoonnetwerken zijn ongeschikt voor authenticatie en er moet dan ook geen gebruik worden gemaakt van multifactorauthenticatie via sms. Een betere oplossing is app-gebaseerde authenticatie, zo stelt Alex Weinert, directeur Identity Security bij Microsoft, in een blogposting.
Volgens Weinert is multifactorauthenticatie (MFA) een absolute must, maar dan niet via openbare telefoonnetwerken. Van de verschillende opties voor MFA is dat namelijk de minst veilige, zo laat de directeur Identity Security weten. Hij stelt dat er verschillende nadelen kleven aan het gebruik van bijvoorbeeld sms voor het ontvangen van one-time passwords. Het sms-formaat is niet veranderbaar, waardoor innovaties op het gebied van bruikbaarheid en security erg beperkt zijn.
Sms maakt ook geen gebruik van encryptie, waardoor berichten onversleuteld worden verstuurd. Zo hebben criminelen in het verleden van het SS7-protocol gebruikgemaakt om mobiele tan-codes te onderscheppen. Daarnaast zijn er andere risico's, zoals sim-swapping. Daarbij weten criminelen het telefoonnummer van het slachtoffer op hun eigen simkaart te krijgen. Dit kan door medewerkers van telecomproviders te social engineeren, te phishen of om te kopen.
"Helaas zijn analoge telefoniesystemen (PSTN) niet honderd procent betrouwbaar", merkt Weinert op. Daardoor kan het voorkomen dat berichten niet aankomen. Een ander probleem met sms is de beperkte hoeveelheid informatie die aan de gebruiker kan worden gecommuniceerd. Hierdoor is phishing een serieuze dreiging, gaat Weinert verder. "We willen de gebruiker zoveel context als mogelijk geven. Sms en spraakformaten beperken onze mogelijkheid om de context te bieden waaronder de authenticatie is aangevraagd."
De beste oplossing voor MFA is volgens Weinert het gebruik van een app. Daarmee is versleutelde communicatie mogelijk en kan er meer context worden geboden.
Deze posting is gelocked. Reageren is niet meer mogelijk.