Britse overheid: tweefactorauthenticatie via sms is beter dan niets
Tweefactorauthenticatie (2FA) via sms kan kwetsbaarder voor aanvallen zijn dan andere 2FA-methodes, maar is nog altijd beter dan niets, zo stelt het Britse National Cyber Security Centre (NCSC). De Britse overheidsdienst kwam met een reactie op de aankondiging van Twitter dat tweefactorauthenticatie via sms voortaan alleen nog voor betalende gebruikers beschikbaar is.
"Als je je in een situatie bevindt waar een dienst ondersteuning van sms-codes voor 2FA stopt, adviseren we je om het met een andere 2FA-methode te vervangen, bij voorkeur een betere als dat mogelijk is, in plaats van dat je jezelf mogelijk kwetsbaar maakt", zo laat het NCSC weten. Daarbij benadrukt de overheidsdienst dat 2FA via sms nog altijd beter is dan helemaal geen tweefactorauthenticatie te gebruiken.
Ook voor gebruikers waarvan de 2FA-opties niet veranderen adviseert het Britse NCSC om de mogelijke opties langs te gaan om te kijken of de veiligste optie wat betreft gebruiksvriendelijkheid en gemak is gekozen. Het NCSC heeft ook een online uitleg hoe 2FA voor verschillende diensten is in te stellen.
Het wisselen (telefoon kan stuk gaan) is veelal een drama. Procedures worden niet bijgewerkt op websites waardoor het wisselen, een avontuur wordt van een dag prutsen.
Het probleem is dat zwakke 2FA gebruikt wordt omdat we weten dat veel mensen zwakke wachtwoorden gebruiken en we dat zo proberen te compenseren. Maar als een cybercrimineel jou een interessant doelwit vindt en jouw wachtwoord kan raden (bijvoorbeeld omdat je het hergebruikt en het elders gelekt is), dan blijkt het in de praktijk niet heel moeilijk om middels (e)SIM-swapping [2] jouw telefoonnummer te kapen en zo op jouw account(s) in te loggen.
En MEDE OMDAT overheidsdiensten (zoals het Britse NCSC) blijven benadrukken dat SMS-2FA toch zinvol is, stoppen marktpartijen niet met de ondersteuning ervan. Of erger, bieden het aan als alternatief voor veiliger authenticatiemethodes - die, toegegeven, vaker tot account-lockouts leiden [3].
[1] Wat is een zwak of sterk wachtwoord: https://tweakers.net/plan/3806/#r_18289856
[2] T-Mobile maakt in samenwerking met Google eenvoudig overzetten van eSIM's naar een andere telefoon mogelijk: https://security.nl/posting/787703.
[3] https://security.nl/posting/778668/TOTP+Authenticators+drama
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
