Skip to content

Waarom telefonische authenticatie onveilig kan zijn

1 de juli de 2021
GettyImages 1197506471 f8e5aa8564244221a7a48b117bb84cd9

Belangrijkste leerpunten

  • Hackers kunnen op telefoons gebaseerde multi-factor authenticatie (MFA) codes stelen, zeggen experts.
  • Telefoonbedrijven zijn misleid om telefoonnummers over te dragen zodat criminelen de codes kunnen krijgen.
  • Een eenvoudige, goedkope manier om de beveiliging te vergroten, is door de authenticator-app op uw telefoon te gebruiken.

Om beschermd te blijven tegen hackers, stop met het gebruik van op de telefoon gebaseerde multi-factor authenticatie (MFA) codes die worden verzonden via sms en spraakoproepen, schrijft een topbeveiligingsexpert in een nieuwe analyse. Telefooncodes zijn kwetsbaar voor onderschepping door hackers, schreef Alex Weinert, directeur identiteitsbeveiliging bij Microsoft, in een recente blogpost. Op tekst gebaseerde codes zijn beter dan niets, zeggen waarnemers. Maar gebruikers moeten telefonische authenticatie vervangen door apps en beveiligingssleutels. “Deze mechanismen zijn gebaseerd op openbaar geschakelde telefoonnetwerken (PSTN), en ik geloof dat ze de minst veilige zijn van de MFA-methoden die momenteel beschikbaar zijn”, schreef hij. “Die kloof zal alleen maar groter worden naarmate MFA-adoptie de interesse van aanvallers vergroot om deze methoden te doorbreken en speciaal gebouwde authenticators hun beveiligings- en bruikbaarheidsvoordelen uitbreiden. Plan nu uw overstap naar wachtwoordloze sterke auth – de authenticator-app biedt een onmiddellijke en evoluerende optie.” MFA is een beveiligingsmethode waarbij een computergebruiker pas toegang krijgt tot een website of applicatie nadat hij met succes twee of meer bewijsstukken heeft voorgelegd aan een authenticatiemechanisme. Deze codes worden vaak telefonisch verzonden.

Hackers doen alsof ze jou zijn

Er zijn echter manieren waarop hackers toegang kunnen krijgen tot telefooncodes, zeggen waarnemers. In sommige gevallen zijn telefoonbedrijven misleid om telefoonnummers over te dragen zodat hackers de codes kunnen krijgen. “Telefoons zijn zo onveilig dat gebruikers vaak zwendeloproepen krijgen vanuit derdewereldlanden terwijl ze Amerikaanse regionale telefoonnummers tonen”, zei Matthew Rogers, CISO van cloudprovider Syntax, in een e-mailinterview. “Telefoons zijn ook onderhevig aan sim-swapping-aanvallen, die MFA gemakkelijk kunnen omzeilen via sms.” Onlangs werd de populaire BBC-radiopresentator Jeremy Vine het slachtoffer van een aanval die ertoe leidde dat zijn WhatsApp-account werd binnengedrongen.

“De aanval die Vine met succes heeft misleid, begint met de ontvangst van een schijnbaar ongevraagd sms-bericht dat de tweefactorauthenticatiecode voor hun account bevat”, zei Ray Walsh, dataprivacy-expert bij de privacybeoordelingssite ProPrivacy, in een e-mailinterview. “Daarna ontvangt het slachtoffer een direct bericht van een contactpersoon die beweert hen per ongeluk een code te hebben gestuurd. Ten slotte wordt het slachtoffer gevraagd om de hacker de code door te sturen, waardoor hij direct toegang heeft tot het account van het slachtoffer.” Software kan ook een probleem zijn. “Vanwege de kwetsbaarheden van het apparaat kan de MFA mogelijk worden afgeluisterd door een lekkende app of een gecompromitteerd apparaat waarvan de gebruiker zich niet bewust is”, zei George Freeman, oplossingenconsulent bij de overheidsgroep van LexisNexis Risk Solutions, in een e-mailinterview.

Geef je telefoon nog niet op

Op tekst gebaseerde MFA is echter beter dan niets, zeggen experts. “MFA is een van de krachtigste tools die een gebruiker heeft om zijn accounts te beschermen”, zei Mark Nunnikhoven, vice-president cloudonderzoek bij cyberbeveiligingsbedrijf Trend Micro, in een e-mailinterview. “Het moet waar mogelijk worden ingeschakeld. Als je de keuze hebt, gebruik dan een authenticatie-app op je smartphone, maar zorg er uiteindelijk voor dat MFA in welke vorm dan ook is ingeschakeld.” Een eenvoudige, goedkope manier om de beveiliging te vergroten, is door de authenticator-app op je telefoon te gebruiken, zei Peter Robert, mede-oprichter en CEO van IT-bedrijf Expert Computer Solutions, in een e-mailinterview. “Als je het budget hebt en de beveiliging van cruciaal belang vindt, raad ik je aan om op hardware gebaseerde MFA-sleutels te evalueren”, voegde hij eraan toe. “Voor bedrijven en individuen die zich zorgen maken over beveiliging, zou ik ook een dark web-monitoringservice aanbevelen waarmee je weten of persoonlijke informatie over u beschikbaar en te koop is op het dark web.”

Close-up van een vinger op een vingerafdrukscanner.

Voor een meer Mission ImpossibleDe nieuwe standaard FIDO2 met Webauthn maakt gebruik van biometrische authenticatie, zegt Freeman. “De gebruiker maakt verbinding met een financiële site, voert een gebruikersnaam in, de website neemt contact op [the] het mobiele apparaat van de gebruiker, een beveiligde app aan [the] telefoon vraagt ​​de gebruiker vervolgens om: [their] gezichts-ID of vingerafdruk. Als dit lukt, wordt de websessie geverifieerd”, zei hij. Met zoveel mogelijke bedreigingen is het misschien tijd om op zoek te gaan naar veiligere manieren om in te loggen op websites die persoonlijke informatie opslaan. Hackers kunnen op het web op de loer liggen en wachten om uw wachtwoord te onderscheppen.