NIST verklaart ongeschiktheid sms voor 2-factor authenticatie
Het Amerikaanse National Institute of Standards and Technology (NIST) heeft verklaard waarom sms niet meer geschikt is voor twee-factor authenticatie en op den duur moet worden uitgefaseerd. NIST, een organisatie die onder andere verantwoordelijk is voor het opstellen van beveiligingsrichtlijnen voor de Amerikaanse overheid, kwam onlangs in het nieuws vanwege een nieuwe conceptrichtlijn voor digitale authenticatie.
Daarin werd gesteld dat sms voor twee-factor authenticatie uiteindelijk moet worden vervangen. Veel organisaties maken gebruik van sms voor twee-factor authenticatie, bijvoorbeeld voor het versturen van TAN-codes bij internetbankieren of het inloggen met DigiD. Volgens het NIST spelen er twee factoren een rol waarom sms in de toekomst niet langer geschikt is. De eerste reden is dat sms-berichten niet alleen meer alleen naar telefoons worden verstuurd.
Door de opkomst van voip en andere ip-gebaseerde diensten kunnen sms-berichten ook via internet binnenkomen. Een aanvaller hoeft in dit geval niet meer de fysieke controle over de telefoon van de gebruiker te hebben om de extra inlogcode te onderscheppen. Het NIST stelt dan ook dat overheidsinstanties eerst moeten controleren of het opgegeven nummer echt van een mobiele telefoon is. Voip is voor digitale authenticatie dan ook niet geschikt, aldus de organisatie.
Maar zelfs als het sms-bericht naar een echte telefoon gaat biedt dit nog niet voldoende zekerheid, wat de tweede reden is. Onderzoekers hebben namelijk aangetoond dat het steeds eenvoudiger en goedkoper wordt om grote hoeveelheden sms-berichten te onderscheppen of door te sturen. "Hoewel een wachtwoord gekoppeld met sms een hoger beschermingsniveau biedt ten opzichte van alleen een wachtwoord, heeft het niet de kracht van authenticatie via het apparaat zelf", aldus de uitleg van het NIST. Het kan dan bijvoorbeeld gaan om een app om een extra inlogcode mee te genereren.
Het NIST stelt verder dat het advies er vooral op is gericht om sms in de toekomst uit te faseren en overheidsinstanties hier nu al op voor te bereiden. "Hoewel sms een populaire en gemakkelijke keuze is, moeten overheidsinstanties rekening houden met de beveiligingsgevolgen van sms als een tweede factor. Het gebruik van sms naar mobiel als tweede factor is minder effectief dan sommige andere aanpakken, maar effectiever dan een enkele factor."
Smartphone open/weg = alles open. Het dogma dat SMS een ander kanaal zou zijn is een weerbarstige. Zelf nadenken en evalueren is een moeilijke. Mooi dat NIST er nu mee komt. Ben benieuwd naar vernieuwing via Vasco of Gemalto.
Smartphone open/weg = alles open. Het dogma dat SMS een ander kanaal zou zijn is een weerbarstige. Zelf nadenken en evalueren is een moeilijke. Mooi dat NIST er nu mee komt. Ben benieuwd naar vernieuwing via Vasco of Gemalto.
Apart apparaatje zeker. Die de gebruiker mag betalen.
Mafkikkers.
Een goed alternatief zou bv. een app als Google Authenticator zijn, of een los apparaat zoals de meeste banken gebruiken. Er is een reden dat de ING de meest aangevallen bank is in Nederland.
Apart apparaatje zeker. Die de gebruiker mag betalen.
Mafkikkers.
In plaats van negatief te zijn kun je ook met opties komen, denk aan:
- omdraaien van dat foto-QR code Rabo naar iets met foto maken van wat je bezit. (bankaart nummer met codes).
Die foto maken moet vanuit de app komen omdat zij moeten garanderen dat het echt een foto is en niet is wat al ergens opgeslagen staat. De opdracht kan zijn om op een specifiek deel in te zoomen.
- Verficatie van locatie Gps smartphone en telco Imei of ander specifiek kenmerk vanuit een andere bron.
- video /scan gezicht vinder of wat dan ook. (met de eis dat het een echte opname moet zijn)
- stemherkenning. Nee niet die gericht zijn op verstaan van woorden, ombouwen naar herkenning persoon.
- Wifi en blue tooth tracking (atm pin)
- keyboard-keystroke dynamics
- nfc (als van bankpas)
- bewegingsensors
Elke optie kan leiden tot een 2fa van iets wat je weet / hebt / bent
Apart apparaatje zeker. Die de gebruiker mag betalen.
Mafkikkers.
De meeste Nederlandse banken werken al vele jaren met een apart apparaatje. Voor wat minder veeleisende toepassingen heb je dingen als U2F-tokens, een open standaard die door meerdere fabrikanten geïmplementeerd wordt en die zo in elkaar zit dat hetzelfde token een onbeperkt aantal diensten kan ondersteunen, zonder van de een of andere provider afhankelijk te zijn. Kost nog geen twee tientjes, al was de verkrijgbaarheid in Nederland (met iDeal kunnen betalen) de laatste keer dat ik ernaar keek bedroevend.
Smartphone open/weg = alles open. Het dogma dat SMS een ander kanaal zou zijn is een weerbarstige. Zelf nadenken en evalueren is een moeilijke. Mooi dat NIST er nu mee komt. Ben benieuwd naar vernieuwing via Vasco of Gemalto.
De smartphoneapp van ING maakt geen gebruik van SMS.
Is dat nou lulkoek van NIST of lijkt het maar zo?
Of is het soms de bedoeling om smartphones zoveel mogelijk keihard te registreren op naam?
Ehhh...
De smartphoneapp van ING maakt geen gebruik van SMS.
Openheid eerlijkheid is met betrouwbaarheid een eerste stap.
Voor SMS:
Ik reageerde op de noodzaak van het aanschaffen van een extra apparaat om 2fa te krijgen. Een smartphone is geavanceerd genoeg om die noodzaak te ondervangen naast SMS (jaren 90) kan hij intussen veel meer.
Voor de app:
Hoe zit het met 2fa? Ooit met een eerdere versie gingen studenten/onderzoekers er naar kijken. Resultaat: ontbrak controle over de encryptie over het dataverkeer.
https://www.security.nl/posting/35810/%22Beveiligingslek+ING+app+zwaar+overdreven%22
Ehhh...
De smartphoneapp van ING maakt geen gebruik van SMS.
Openheid eerlijkheid is met betrouwbaarheid een eerste stap.
Ooit met een eerdere versie gingen studenten/onderzoekers er naar kijken. Resultaat: ontbrak controle over de encryptie over het dataverkeer.
https://www.security.nl/posting/35810/%22Beveiligingslek+ING+app+zwaar+overdreven%22
Het topic was de geschiktheid van SMS als tweede kanaal.
Apart apparaatje zeker. Die de gebruiker mag betalen.
Mafkikkers.
- Verficatie van locatie Gps smartphone en telco Imei of ander specifiek kenmerk vanuit een andere bron.
- video /scan gezicht vinder of wat dan ook. (met de eis dat het een echte opname moet zijn)
- stemherkenning. Nee niet die gericht zijn op verstaan van woorden, ombouwen naar herkenning persoon.
- Wifi en blue tooth tracking (atm pin)
- keyboard-keystroke dynamics
- nfc (als van bankpas)
- bewegingsensors
Big Brother shit
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.