image

Britse overheid: tweefactorauthenticatie via sms is beter dan niets

donderdag 2 maart 2023, 12:05 door Redactie, 2 reacties

Tweefactorauthenticatie (2FA) via sms kan kwetsbaarder voor aanvallen zijn dan andere 2FA-methodes, maar is nog altijd beter dan niets, zo stelt het Britse National Cyber Security Centre (NCSC). De Britse overheidsdienst kwam met een reactie op de aankondiging van Twitter dat tweefactorauthenticatie via sms voortaan alleen nog voor betalende gebruikers beschikbaar is.

"Als je je in een situatie bevindt waar een dienst ondersteuning van sms-codes voor 2FA stopt, adviseren we je om het met een andere 2FA-methode te vervangen, bij voorkeur een betere als dat mogelijk is, in plaats van dat je jezelf mogelijk kwetsbaar maakt", zo laat het NCSC weten. Daarbij benadrukt de overheidsdienst dat 2FA via sms nog altijd beter is dan helemaal geen tweefactorauthenticatie te gebruiken.

Ook voor gebruikers waarvan de 2FA-opties niet veranderen adviseert het Britse NCSC om de mogelijke opties langs te gaan om te kijken of de veiligste optie wat betreft gebruiksvriendelijkheid en gemak is gekozen. Het NCSC heeft ook een online uitleg hoe 2FA voor verschillende diensten is in te stellen.

Reacties (2)
02-03-2023, 13:09 door Bitje-scheef
Ik word alleen een beetje gek van allerlei verschillende methodes, waarvan sommige websites een eigen app op de telefoon.
Het wisselen (telefoon kan stuk gaan) is veelal een drama. Procedures worden niet bijgewerkt op websites waardoor het wisselen, een avontuur wordt van een dag prutsen.
02-03-2023, 13:46 door Erik van Straten
Daarbij benadrukt de overheidsdienst dat 2FA via sms nog altijd beter is dan helemaal geen tweefactorauthenticatie te gebruiken.
Dat klopt hooguit als je een sterk [1] wachtwoord hebt, maar dan heb je daar geen zwakke 2FA bij nodig (sowieso zwak indien je de 2FA-code op dezelfde webpagina intikt waarop je ook jouw user-ID en wachtwoord invoert; als dat op een nepwebsite is, is het game over).

Het probleem is dat zwakke 2FA gebruikt wordt omdat we weten dat veel mensen zwakke wachtwoorden gebruiken en we dat zo proberen te compenseren. Maar als een cybercrimineel jou een interessant doelwit vindt en jouw wachtwoord kan raden (bijvoorbeeld omdat je het hergebruikt en het elders gelekt is), dan blijkt het in de praktijk niet heel moeilijk om middels (e)SIM-swapping [2] jouw telefoonnummer te kapen en zo op jouw account(s) in te loggen.

En MEDE OMDAT overheidsdiensten (zoals het Britse NCSC) blijven benadrukken dat SMS-2FA toch zinvol is, stoppen marktpartijen niet met de ondersteuning ervan. Of erger, bieden het aan als alternatief voor veiliger authenticatiemethodes - die, toegegeven, vaker tot account-lockouts leiden [3].

[1] Wat is een zwak of sterk wachtwoord: https://tweakers.net/plan/3806/#r_18289856

[2] T-Mobile maakt in samenwerking met Google eenvoudig overzetten van eSIM's naar een andere telefoon mogelijk: https://security.nl/posting/787703.

[3] https://security.nl/posting/778668/TOTP+Authenticators+drama
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.