Wanneer is het gebruik van SMS voor 2FA geen "adequate" beveiligingsmaatregel meer?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Regelmatig zie ik nog sites en diensten waar men tweefactorauthenticatie (2FA) aanbiedt via een SMS bericht. Steeds meer experts (zoals het Amerikaanse CISA (pdf) zijn het er over eens dat dit echt niet meer kan. Nu weet ik dat de wet (art. 32 AVG) open normen kent, maar wanneer kunnen we zeggen dat dit gewoon niet meer adequaat is?
Antwoord: Inderdaad eist de AVG geen concrete maatregelen maar houdt zij het bij "adequate" beveiligingsmaatregelen. Of 2FA via SMS adequaat is, is dan iets dat de verwerkingsverantwoordelijke moet aantonen. En als er een datalek of ander incident was dankzij bijvoorbeeld sim-swapping dan wordt dat een lastig verhaal.
AVG-toezichthouders zijn niet erg scheutig met concrete adviezen over wat wel of niet adequaat meer is. De AP verwijst heel algemeen naar een factsheet uit alweer 2018 van de NCTV waarin men stelt "Het NIST geeft aan terughoudend om te gaan met het publieke telefoon netwerk (SMS en spraak) als authenticatiemiddel voor tweefactorauthenticatie."
Uiteindelijk is het een risico-analyse. Als jij als organisatie de kans op sim-swapping of andere aanvallen op het SMS-kanaal verwaarloosbaar acht (bv. gezien de aard van je dienst) of je hebt aanvullende maatregelen om dergelijke aanvallen te mitigeren, dan is dat AVG-technisch prima te verantwoorden. Je moet er dus vooral over nagedacht hebben.
In de context van financiële diensten gelden de security-eisen die voortvloeien uit de PSD2 (Payment Services Directive). De daaronder liggende Strong Customer Authentication Regulatory Technical Standard (SCA RTS) schrijft in artikel 4 expliciet multi-factor authenticatie voor met een aantal randvoorwaarden. In 2018 heeft de Europese Banking Authority nog aangegeven dat SMS mogelijk voldoet voor het communiceren van inlogcodes, maar niet voor het doorsturen van inhoudelijke informatie.
Een update van dergelijke aanbevelingen is eigenlijk de enige manier om de markt in beweging te krijgen, afgezien van ernstige incidenten die met een andere 2FA voorkomen hadden kunnen worden.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Die zijn er natuurlijk al heel lang. $24 miljoen zien gejat worden van je bankrekening, naast vele "kleinere" rampjes waar normale mensen duizenden euro zien verdwijnen. Als oprichter van Twitter je Twitter-account zien worden overgenomen. Twitter-account van een Amerikaans president, van Musk. Toegang tot interne systemen van Twitter, Reddit, of dichterbij Tmobile. Ga zo nog even door.
Slechte pers is een jaar later vergeten.
Een speciale applicatie op een computer met een OS (Android, iOS) dat door de VS wordt gecontroleerd?
Hoe veilig is dat?
Een speciale applicatie op een computer met een OS (Android, iOS) dat door de VS wordt gecontroleerd?
Hoe veilig is dat?
Een FIDO2 key kan een alternatief zijn.
Een speciale applicatie op een computer met een OS (Android, iOS) dat door de VS wordt gecontroleerd?
Hoe veilig is dat?
Of niet meteen helemaal doorschieten maar accepteren dat "zelfs" een uptodate MS Authenticator op uptodate iOS veilig genoeg is. En sowieso veel veiliger dan SMS.
'Dat was ik niet' roepen is met MFA niet zo makkelijk. Je account is dan al overgenomen.
Een speciale applicatie op een computer met een OS (Android, iOS) dat door de VS wordt gecontroleerd?
Hoe veilig is dat?
[...]
Op hun website kan ik daar namelijk geen informatie over vinden.
Op dit moment heb ik een "volledig offline phone" maar daar kan ik alleen maar mee bellen of SMS-tekstberichten mee ontvangen (en FM radio luisteren). Hoe zou dat dan een alternatief zijn voor SMS?
Voor de gemiddelde consument volstaat SMS prima. De inspanningen die je moet doen om SMS te spoofen zijn zo groot dat het niet realistisch is om dat als gangbaar aanvalsscenario voor de gemiddelde consument te beschouwen.
Anders wordt het als het gaat om toegang tot bijzonder gevoelige informatie of hele grote sommen geld. Als grote bank zou ik de afscherming van een beheeromgeving (met toegang tot kritische financiële systemen) met SMS als two factor als volkomen ontoereikend beschouwen. En ook als je bij de AIVD werkt, zou ik maar geen SMS als two factor gebruiken. Hetzelfde geldt voor een partij als ASML, ik zou ze niet aanraden om SMS als two factor te gebruiken om hun intellectueel eigendom te beschermen (overigens ook geen Google of Microsoft authenticator, maar dat terzijde).
Maar voor de bankrekening van de gemiddelde consument is SMS nog steeds prima.
'Dat was ik niet' roepen is met MFA niet zo makkelijk. Je account is dan al overgenomen.
Ze heeft er zelfs een motie van wantrouwen voor gekregen omdat ze die smsjes niet wilde delen, zelfs niet na een veroordeling door de rechter (rechters gaan alleen maar over onderdanen natuurlijk, niet over de EU heersers) die ze alleen kon overleven door de sociaal democraten iets toe te stoppen.
Een andere reden voor sms 2fa lijkt me dat veel bedrijven graag je telefoon nummer hebben. Facebook zeurt er om om de haverklap om, voor de "veiligheid", terwijl die al betrapt zijn het voor reclame te misbruiken.
Dat nog los van het feit dat het in de praktijk meestal knap lastig is om alle mogelijke risico's te inventariseren en iets zinvols te zeggen over de impact per incident en vooral over de kans dat zo'n incident plaatsvindt.
Maar stel de organisatie doet haar stinkende best met als resultaat dat jaarlijks bijv. 1% van alle klanten/burgers een schade van zeg gemiddeld 1000 Euro zal lijden (bijvoorbeeld doordat criminelen hun accounts overnemen nadat de slachtoffers een link in een phishingmail hebben geopend, en vervolgens hun e-mailadres, wachtwoord en de code uit de SMS (of TOTP-app) op de nepwebsite invullen; zwakke MFA is immers niet phishing-bestendig).
Wie bepaalt of dat acceptabel is? Wordt er een vangnet ingericht voor die slachtoffers, of is dat risico geheel voor hen? Wordt er bijgehouden hoeveel slachtoffers er vallen en hoe groot hun schade is? Hoe voorspel je welk deel van de slachtoffers geen melding doet van oplichting (bijv. vanwege schaamte)? Hoe transparant is de organisatie over de (regelmatig herhaalde?) risicoanalyses en/of evaluaties? Hoe weten klanten/burgers of de organisatie de waarheid spreekt als zij zegt daar 100% transparant over te zijn?
De onophoudelijke stroom aan datalekken toont aan dat zeer veel organisaties liegen dat de zij de veiligheid van gegevens van klanten/burgers het "allerbelangrijkst" vinden. Dat terwijl een datalek vaak imagoschade oplevert (als dat uitlekt). Als klanten of burgers schade lijden doordat criminelen met hun gegevens konden inloggen, is dat, in de praktijk, nooit de schuld van de organisatie die een digitaal systeem heeft opgetuigd.
Voorbeeld: als het Kifid niet meteen "grof nalatig" roept en de klant (deels) schadeloos gesteld wordt, is dat allesbehalve een schuldbekentenis van de bank, maar vindt dat plaats "uit coulance". Oftewel, de bank heeft ongetwijfeld een risicoanalyse uitgevoerd, maar in de eersts plaats van de risico's die zij zelf loopt.
Ik garandeer je dat voor 99,9% van de mensen echt niemand met een eigen telefoonpaal op de proppen komt, specifiek naast jou werkplek voor jouw SMS code.
Wellicht voor belangrijke mensen zoals de shell ceo of de MP.
SMS is prima veilig, juist omdat het ook op een Nokia 3210 werkt ipv een gehackte smartphone.
Net als wachtwoorden opschrijven en thuis verstoppen. Er is echt geen Russische hacker die jouw wachtwoordenboekje thuis gaat zoeken hoor, maar ze proberen wel jouw digitale kluizen te kraken.
Ik garandeer je dat voor 99,9% van de mensen echt niemand met een eigen telefoonpaal op de proppen komt, specifiek naast jou werkplek voor jouw SMS code.
Ik garandeer je dat voor 99,9% van de mensen echt niemand met een eigen telefoonpaal op de proppen komt, specifiek naast jou werkplek voor jouw SMS code.
En degene van wie het nummer origineel is, heeft dan geen [2345]G meer en kan dus geen SMS-tekstberichten meer ontvangen.
https://www.youtube.com/watch?v=wVyu7NB7W6Y
valt nog best tegen
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Netwerkbeheerder Netwerk Services
Ministerie van Binnenlandse Zaken
Betrouwbaarheid, optimale beveiliging en innovatie: eisen die we stellen aan onze infrastructuur die het belangrijke werk van de AIVD en de MIVD mogelijk maakt. Zorg jij ervoor dat gebruikers altijd op de systemen kunnen rekenen en dat er geen staatsgeheim ontsnapt?
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?