Microsofttopman: stop tweetrapsverificatie met SMS

telefoon vrouw belt op kantoor

Tweetrapsverificatie via sms kan net zo goed stoppen. Dat stelt securitytopman van Microsoft Alex Weinert roept in een blogpost. Weinert stelt dat telefoonnetwerken waarmee dat gebeurt onveilig zijn.

De directeur Identity Security bij de techreus sprak hij zich in een eerdere blogpost al eens uit tegen het gebruik van wachtwoorden in het algemeen. Volgens Weinert is de verbinding waar telefoonnetwerken gebruik van maken onversleuteld.  Je zou in theorie dus berichten kunnen onderscheppen en dus ook meelezen. Verder kun je behalve korte tekstberichten sturen niets doen om de tekst te verrijken of op een andere manier veiliger te maken. Daarvoor is het destijds eenvoudigweg niet ontworpen.

Nutteloos

Tweetrapsverificatie is helemaal nutteloos als via simswapping of simjacking de simkaart van een telefoon helemaal overnemen. Hiermee is een telefoonnummer met alle facetten helemaal overgenomen. De hackers kunnen dan ook inloggen op accounts en apps met tweetrapsverificatie via sms.

In dit soort gevallen is het beter om gebruik te maken van een verificatie-app. Deze is juist wel versleuteld. In het geval van simswapping kan de hacker dan alsnog nergens op inloggen. Ook deze apps gebruiken een vorm van multifactor-authenticatie, maar dan veilig. Weiniert stelt in zijn blog dat dit soort authenticatie wel essentieel is maar dan moet het wel op een veilige manier gebeuren.

Lees ook:

Gerelateerde berichten...

X