Microsoft: stop met gebruik van multifactorauthenticatie via sms
Openbare telefoonnetwerken zijn ongeschikt voor authenticatie en er moet dan ook geen gebruik worden gemaakt van multifactorauthenticatie via sms. Een betere oplossing is app-gebaseerde authenticatie, zo stelt Alex Weinert, directeur Identity Security bij Microsoft, in een blogposting.
Volgens Weinert is multifactorauthenticatie (MFA) een absolute must, maar dan niet via openbare telefoonnetwerken. Van de verschillende opties voor MFA is dat namelijk de minst veilige, zo laat de directeur Identity Security weten. Hij stelt dat er verschillende nadelen kleven aan het gebruik van bijvoorbeeld sms voor het ontvangen van one-time passwords. Het sms-formaat is niet veranderbaar, waardoor innovaties op het gebied van bruikbaarheid en security erg beperkt zijn.
Sms maakt ook geen gebruik van encryptie, waardoor berichten onversleuteld worden verstuurd. Zo hebben criminelen in het verleden van het SS7-protocol gebruikgemaakt om mobiele tan-codes te onderscheppen. Daarnaast zijn er andere risico's, zoals sim-swapping. Daarbij weten criminelen het telefoonnummer van het slachtoffer op hun eigen simkaart te krijgen. Dit kan door medewerkers van telecomproviders te social engineeren, te phishen of om te kopen.
"Helaas zijn analoge telefoniesystemen (PSTN) niet honderd procent betrouwbaar", merkt Weinert op. Daardoor kan het voorkomen dat berichten niet aankomen. Een ander probleem met sms is de beperkte hoeveelheid informatie die aan de gebruiker kan worden gecommuniceerd. Hierdoor is phishing een serieuze dreiging, gaat Weinert verder. "We willen de gebruiker zoveel context als mogelijk geven. Sms en spraakformaten beperken onze mogelijkheid om de context te bieden waaronder de authenticatie is aangevraagd."
De beste oplossing voor MFA is volgens Weinert het gebruik van een app. Daarmee is versleutelde communicatie mogelijk en kan er meer context worden geboden.
Ja, zo hebben ze ondertussen de gegevens van iedereen... Man wat een waanzin weer. Nou, uitmesten die hap dan maar want ik heb geen device voor een app.
De stropdassen zullen vast weer trots zijn op hun mongole besluiten.
Edit: Er is nog een mogelijkheid om met een 2e email-adres in te loggen. Storm in een glas water dus...
Dus nee, geen app. Niks waar dat op kan draaien. Laat maar.
Maar ik heb het idee dat deze meneer voor eigen parochie aan het preken is:
Nl het aan de man brengen van deze app.
"waardoor innovaties op het gebied van bruikbaarheid en security erg beperkt zijn"
Welke innovaties? en wil ik die wel?
Het gaat mij toch alleen maar om het ontvangen van de code?
Daarvoor hoef ik toch niet mee context als nodig is te ontvangen?
nl.alleen maar de reden eaarom deze code wordt verstuurd en met de code zelf.
Simpeler( = lees meer bruikbaar)
Analoge telefoonsystemen niet 100% betrouwbaar.
Digitale wel dan,want ik wordt regelmatig gebeld door gesppofte nummers.
Zegt U het maar.
Ik geloof al dat gezwam niet.
Het staat los van privacy.
Het beste om je gegevens veilig te stellen is via de app op een ander apparaat (tweede smartphone)
En als privacy zo belangrijk is gebuik dan geen Google of FB.
Dat schrijft Weinert zelf, uit https://techcommunity.microsoft.com/t5/azure-active-directory-identity/it-s-time-to-hang-up-on-phone-transports-for-authentication/ba-p/1751752:
Phishing is a serious threat vector, and we want to empower the user with as much context as possible (or, using Windows Hello or FIDO, make phishing impossible) – SMS and voice formats restrict our ability to deliver the context under which authentication is being requested.
Authentication Evolved
Ok, to recap: you’re GOING to use MFA. Which MFA? Well, for most users on their mobile devices, we believe the right answer is app-based authentication. For us, that means the Microsoft Authenticator. The Authenticator uses encrypted communication, allowing bi-directional communication on authentication status, and we’re currently working on adding even more context and control to the app to help users keep themselves safe. In just the last year, we’ve added app lock, hiding notifications from the lock screen, sign-in history in the app, and more – and this list will have grown by the time you plan your deployment, and keep growing while SMS and voice keep sitting still.
[...]
Echter, als jij (na een phishing mail) op een fake MitM Microsoft site jouw gebruikersnaam en wachtwoord hebt ingevoerd, maakt het geen klap uit dat jij, via een gescheiden kanaal (tussen Microsoft Authenticator en een server van Microsoft), bevestigt dat jij wil inloggen: die MitM aanvaller lift dan gewoon mee en kan in jouw account (d.w.z. zonder dat die aanvaller iets met jouw smartphone en app te maken heeft). Welliswaar slechts eenmalig, maar dat is bijna altijd genoeg om flinke schade te veroorzaken.
Een slechte zaak dat "specialisten" eerst schrijven dat je "Windows Hello" of "FIDO" zou moeten gebruiken om phishing onmogelijk te maken, en vervolgens Microsoft Authenticator adviseren - een soort MFA die zelfs niet veiliger is -om phishing te voorkomen- dan 1FA gebaseerd op een lang random wachtwoord uit een goede wachtwoordmanager.
Maar ja, gebruikers moeten en zullen naar Microsoft's cloud verkassen - ook gebruikers waarvoor "Windows Hello" of "FIDO" een brug te ver is. En ondertussen regent het gehackte Microsoft cloud-accounts.
Mijn vader moest over op MS Office 2019 home student welke ik begin oktober voor mijn vader heb besteld en kort geleden samen met hem heb geïnstalleerd op Windows 10 home. Hiervoor moest een Microsoft Account worden aangemaakt. Verplicht.
Omdat Microsoft het provider e-mail adres wat hij wilde gebruiken niet accepteerde (dit e-mail adres is ouder als gmail zelf), moest het op zijn oude iPhone (die van mij niet op het internet mag, behalve voor Facetime en voor updates die niet meer komen).
Dus vorige maand kon je nog een MFA account aanmaken bij Microsoft met een SMS als bevestiging. Gelukkig heb ik een wachtwoord voor mijn vader gemaakt zodat het tenminste sterk is (minimaal acht tekens en twee groepen uit hoofd-/kleine letters, cijfers en symbolen IIRC). De SMS die je krijgt is vier cijfers lang en komt uit +44.
Natuurlijk het is te kraken maar men loopt niet zomaar naar binnen, en daar is het voor bedoeld.
Iedere mogelijke beveiliging is een afweging tussen gemak en veiligheid en bijna altijd is er wel een scenario of werkwijze te bedenken waar het niet in voorziet.
Maar dat betekent niet dat het meteen ook maar ongeschikt is.
Natuurlijk het is te kraken maar men loopt niet zomaar naar binnen, en daar is het voor bedoeld.
Iedere mogelijke beveiliging is een afweging tussen gemak en veiligheid en bijna altijd is er wel een scenario of werkwijze te bedenken waar het niet in voorziet.
Maar dat betekent niet dat het meteen ook maar ongeschikt is.
...
De Microsoft Authenticator app helpt NIET tegen phishing....
...
Een slechte zaak dat "specialisten" eerst schrijven dat je "Windows Hello" of "FIDO" zou moeten gebruiken om phishing onmogelijk te maken, en vervolgens Microsoft Authenticator adviseren - een soort MFA die zelfs niet veiliger is -om phishing te voorkomen- dan 1FA gebaseerd op een lang random wachtwoord uit een goede wachtwoordmanager.
Maar ja, gebruikers moeten en zullen naar Microsoft's cloud verkassen - ook gebruikers waarvoor "Windows Hello" of "FIDO" een brug te ver is. En ondertussen regent het gehackte Microsoft cloud-accounts.
Het onderscheppen van SMS berichten is wel mogelijk, maar in de praktijk nog knap lastig. Ten eerste moet je al met een IMSI-catcher aan de slag en dus ook binnen het radiobereik - dus een binnen paar honderd meter - van de telefoon zijn. Bovendien is het een issue die alleen op 1G en 2G werkt, de beveiliging van het meer gangbare 3G t/m 5G zit een stuk beter in elkaar. Nu moet ik wel zeggen dat ik de allerlaatste ontwikkelingen op dit specifieke gebied niet heb bijgehouden, dus mogelijk kan er tegenwoordig wat meer. Maar dan nog is het onderscheppen van SMS in een geconditioneerde lab-situatie een stuk eenvoudiger dan 'in het wild'.
Er zijn talloze manieren die 100 keer eenvoudiger zijn om onrechtmatig toegang tot een account te krijgen. Kijk alleen al naar het 'succes' van de Whatsapp fraudes die we afgelopen maanden voorbij zien komen. Met een goed verhaal kom je sneller en goedkoper verder dan met geavanceerde techniek.
Hoeveel voorvallen zijn er bekend waarbij fraude is gepleegd door het onderscheppen van een SMS bericht?
Voor de gemiddelde burger is SMS helemaal prima. Alleen als je écht bijzonder bent, denk aan medewerkers van veiligheidsdiensten, hooggeplaatste functionarissen bij bedrijven met kostbaar intellectueel eigendom (ASML; farmaceuten, etc) is SMS wellicht onvoldoende. Maar voor dit soort mensen zijn authenticatie apps van Amerikaanse bedrijven al helemaal uit den boze ; dan weet je in elk geval zeker dat je je intellectueel eigendom aan de Amerikaanse 'collega's' overhandigd:
https://www.vpro.nl/argos/lees/nieuws/2020/de-cryptoleaks-van-cia-en-bnd.html
http://retro.nrc.nl/W2/Lab/Echelon/inhoud.html
Bij dit soort personen zullen aanvallers bereid zijn om tienduizenden, zo niet honderdduizenden euro's te investeren om toegang tot gevoelige informatie te krijgen. Het zal mij dan ook niet verbazen als de NSA achter dit soort berichten zit.
Dus ja, je hebt gelijk dat het argument om van SMS/voice 2FA over te stappen op Microsoft Authenticator, flauwe kul is, vooral voor Truus aan de keukentafel. Maar als je wat te verbergen hebt, zoals privacygevoelige gegevens van (veel) derden, is de stap van SMS/voice naar MS Authenticator nauwelijks een verbetering te noemen.
Simpelweg omdat het barst van de phishing sites, waaronder vele die zelfs een geldig Microsoft certificaat gebruiken - waaronder https://*.web.core.windows.net/ en https://*.blob.core.windows.net. Kennelijk schijnen gebruikers te moeten ruiken dat het wel OK is om hun e-mail-adres, wachtwoord -en eventuele 2FA code- in te vullen op https://*.microsoftonline.com/. Bizar gewoon.
Wie bij Microsoft verzint al die stomme domeinnamen?
Met de Authenticator App kun je je account delen door meerdere apparaten te registreren voor één account.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.