Britse overheid: tweefactorauthenticatie via sms is beter dan niets
Tweefactorauthenticatie (2FA) via sms kan kwetsbaarder voor aanvallen zijn dan andere 2FA-methodes, maar is nog altijd beter dan niets, zo stelt het Britse National Cyber Security Centre (NCSC). De Britse overheidsdienst kwam met een reactie op de aankondiging van Twitter dat tweefactorauthenticatie via sms voortaan alleen nog voor betalende gebruikers beschikbaar is.
"Als je je in een situatie bevindt waar een dienst ondersteuning van sms-codes voor 2FA stopt, adviseren we je om het met een andere 2FA-methode te vervangen, bij voorkeur een betere als dat mogelijk is, in plaats van dat je jezelf mogelijk kwetsbaar maakt", zo laat het NCSC weten. Daarbij benadrukt de overheidsdienst dat 2FA via sms nog altijd beter is dan helemaal geen tweefactorauthenticatie te gebruiken.
Ook voor gebruikers waarvan de 2FA-opties niet veranderen adviseert het Britse NCSC om de mogelijke opties langs te gaan om te kijken of de veiligste optie wat betreft gebruiksvriendelijkheid en gemak is gekozen. Het NCSC heeft ook een online uitleg hoe 2FA voor verschillende diensten is in te stellen.
Het wisselen (telefoon kan stuk gaan) is veelal een drama. Procedures worden niet bijgewerkt op websites waardoor het wisselen, een avontuur wordt van een dag prutsen.
Het probleem is dat zwakke 2FA gebruikt wordt omdat we weten dat veel mensen zwakke wachtwoorden gebruiken en we dat zo proberen te compenseren. Maar als een cybercrimineel jou een interessant doelwit vindt en jouw wachtwoord kan raden (bijvoorbeeld omdat je het hergebruikt en het elders gelekt is), dan blijkt het in de praktijk niet heel moeilijk om middels (e)SIM-swapping [2] jouw telefoonnummer te kapen en zo op jouw account(s) in te loggen.
En MEDE OMDAT overheidsdiensten (zoals het Britse NCSC) blijven benadrukken dat SMS-2FA toch zinvol is, stoppen marktpartijen niet met de ondersteuning ervan. Of erger, bieden het aan als alternatief voor veiliger authenticatiemethodes - die, toegegeven, vaker tot account-lockouts leiden [3].
[1] Wat is een zwak of sterk wachtwoord: https://tweakers.net/plan/3806/#r_18289856
[2] T-Mobile maakt in samenwerking met Google eenvoudig overzetten van eSIM's naar een andere telefoon mogelijk: https://security.nl/posting/787703.
[3] https://security.nl/posting/778668/TOTP+Authenticators+drama
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.