image

Onderzoek: bedrijven negeren risico van wachtwoordresets via sms

vrijdag 27 maart 2020, 14:15 door Redactie, 5 reacties

Het is niet veilig om gebruikers hun wachtwoord via sms te laten resetten en via sms aanvullende inlogcodes te versturen, toch blijven veel bedrijven en websites deze optie aanbieden, ook wanneer ze over het risico zijn gewaarschuwd. Dat stellen onderzoekers van Princeton University op basis van eigen onderzoek. Ze vonden zeventien websites die sms-gebaseerde multifactorauthenticatie (MFA) aanbieden en gelijktijdig gebruikers hun wachtwoord via sms laten resetten.

En dat is door sim-swapping een beveiligingsrisico, aldus de onderzoekers. Bij sim-swapping weten oplichters een telecomprovider zover te krijgen om het mobiele telefoonnummer van het slachtoffer over te zetten naar een andere simkaart, die reeds in het bezit is van de oplichter. Zodra een aanvaller het telefoonnummer heeft overgenomen kan die via sms het wachtwoord resetten en vervolgens met de via sms verkregen MFA-code inloggen.

Het probleem speelt en speelde bij allerlei grote partijen, zoals Microsoft, PayPal, Amazon, Adobe, eBay, Snapchat en Blizzard. De onderzoekers waarschuwden de zeventien bedrijven. "Adobe, Snapchat en eBay reageerden snel en verhielpen de kwetsbaarheden die we rapporteerden", aldus de onderzoekers. "In drie gevallen, Blizzard, Microsoft en Taxact, leverde onze bugmelding niet het bedoelde effect op." Na zestig dagen bleken de bedrijven de problemen te hebben verholpen, alleen zonder dat de onderzoekers waren geïnformeerd.

Uit het overzicht van de onderzoekers blijkt dat zeven van de zeventien gewaarschuwde bedrijven maatregelen hebben genomen en tien er nog kwetsbaar zijn. "Er lijkt een algemeen gebrek aan kennis over kwetsbaarheden te zijn die ontstaan door zwak authenticatiebeleid", merken de onderzoekers op. Daarnaast stellen ze dat bedrijven het eenvoudig moeten maken om kwetsbaarheden te rapporteren.

Image

Reacties (5)
27-03-2020, 15:08 door Erik van Straten
Helaas doen bedrijven en andere organisaties zelden iets met dit soort adviezen, en ook klanten/burgers slikken opgedrongen "veilige" 2FA methodes voor zoete koek. Kennelijk zien laatsgenoemden niet dat die bedrijven/organisaties geen enkele verantwoording nemen voor de risico's die zij hiermee op hun gebruikers afwentelen (en Telco's de schuld geven bij eventuele identiteitsfraude).

In mijn "Secure SMS 2FA Proposal" (https://security.nl/posting/638976 verwijs ik overigens onder meer naar hetzelfde onderzoek van Princeton University (https://www.issms2fasecure.com/ - no).
27-03-2020, 22:32 door Anoniem
En het mede door google gepromote RCS is geen barst beter. SMS/RCS voor 2FA deugen niet!
29-03-2020, 08:59 door Anoniem
Maar wie maakt hier nu de fout? Dat is toch de telecomprovider die zonder controle het telefoonnummer overzet.
29-03-2020, 14:01 door Anoniem
Door Anoniem: Maar wie maakt hier nu de fout? Dat is toch de telecomprovider die zonder controle het telefoonnummer overzet.
Ja bovendien is dit weer zo'n gevalletje van "het is niet 100.00000% veilig dus het is ONVEILIG".
Nee, zo werkt dat niet. Veiligheid is altijd een afweging tussen kosten, gemak, en risico.
Die afweging kan in een praktijksituatie best wel anders uitvallen dan in het koppie van een "onderzoeker".
29-03-2020, 22:03 door Anoniem
Door Anoniem: Maar wie maakt hier nu de fout? Dat is toch de telecomprovider die zonder controle het telefoonnummer overzet.
Nee, het gaat erom dat je bij veel bedrijven feitelijk maar 1 factor nodig hebt, met name als je de password reset form gebruikt. Yahoo laat ook je wachtwoord resetten met alleen maar een telefoonnummer. Dat is geen twee staps verificatie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.