Het is tijd om te stoppen met het gebruik van SMS voor tweefactor-authenticatie

Je moet altijd tweefactorauthenticatie inschakelen wanneer een service of account de optie biedt. Als een service geen 2FA biedt, moet je overwegen om een ​​vergelijkbare service van een andere provider te gebruiken. Je bent de enige persoon die je online identiteit echt kan beschermen en 2FA is een grote stap om dit te doen.

Maar niet alle 2FA is gelijk. 2FA is gewoon een tweede manier om te bewijzen dat je bent wie je beweert te zijn en er zijn verschillende manieren waarop dit kan worden gedaan. Je kunt een app zoals Authy gebruiken, een beveiligingssleutel gebruiken zoals die wordt aangeboden door Yubico, of Google's Titan Security-oplossing gebruiken via je Pixel-telefoon of een zelfstandige sleutel. Je kunt ook SMS gebruiken om een ​​code naar je te laten sturen wanneer je deze nodig hebt, ook al zou je dat niet moeten doen.

f601e8c10ccb99ac875bb062596c48e0_medium.

Het probleem ligt niet bij het idee. Het verkrijgen van een 2FA-code via een sms is niet zo heel anders dan het krijgen van een authenticator-app. Het probleem is met de uitvoering. Wanneer je voor die codes vertrouwt op SMS, ben je onderhevig aan zaken als een man-in-the-middle-aanval, waarbij iemand jouw berichten onderschept, of SIM-jacking - dat is waar iemand je provider overtuigt om hem een ​​nieuwe simkaart te geven met jouw nummer. Zodra dat gebeurt, heb je geen controle meer over de toegang tot je account.

Dit is ook niet alleen een theorie. Beveiligingsexperts waarschuwen al jaren voor het gebruik van SMS voor authenticatie en de recente YouTube-hacks laten ons zien dat het echt is dat echte mensen overkomt. Als je een populair YouTube-kanaal runt, ben je een belangrijk doelwit voor allerlei soorten hackers, maar je hoeft niet beroemd te zijn of een andere influencer om het slachtoffer te worden van identiteitsdiefstal.

 

Het is ook vrij gemakkelijk om de gebruiker de schuld te geven wanneer je zoiets ziet gebeuren. Ja, een technische YouTuber die de ins en outs kent van hoe dit allemaal werkt, had beter moeten weten dan SMS te gebruiken om zijn bedrijf te beveiligen. Maar misschien zou Google beter moeten weten dan zelfs 2FA op SMS als optie aan te bieden.

Google is hier ook niet de enige. De meeste services die 2FA aanbieden als een manier om een ​​online account te beschermen (laat me niet beginnen met services die dit niet eens aanbieden) zullen je graag SMS laten gebruiken om een ​​code te krijgen. De mensen die verantwoordelijk zijn voor de beveiliging bij deze bedrijven weten dat 2FA op basis van SMS niet iets is dat we zouden moeten gebruiken. En als je het niet weet, kun je SMS gebruiken en denken dat je account net zo veilig is als wanneer je ervoor had gekozen om een ​​app of een beveiligingssleutel te gebruiken.

Sommige accounts kunnen zonder problemen SMS-gebaseerde authenticatie dumpen. Zelfs Apple heeft het kunnen doen, maar dit is mogelijk omdat bijna niemand een icloud.com-e-mailadres als primair contact gebruikt en nog steeds toegang heeft tot e-mail van Google of Microsoft als ze hun iPhone kwijtraken. Bovendien biedt Apple persoonlijke klantenondersteuning waarbij je fysiek kunt bewijzen wie je bent. Het is belangrijk om te kunnen communiceren of de persoon te bezoeken die kan helpen.

 

 

Ik zei eerder dat het aan ons allemaal is om onze online identiteit te beschermen en te beveiligen. We moeten alles weten over SIM-jacking en man-in-the-middle-aanvallen en alle manieren waarop sms kan worden gecompromitteerd. De waarheid is dat de meesten van ons dat niet doen en denken dat het ontvangen van een SMS een veilige manier is om onszelf te beschermen.  

13