45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Tweestapsverificatie via sms is onveilig

Als je tweestapsverificatie instelt, voeg je een extra beveiligingslaag toe aan je accounts. Verscheidene onlinediensten – zoals Google, Facebook en Dropbox – bieden een dergelijke beveiliging aan, waarbij je via een app of sms’je een code krijgt die je bij het inloggen moet invoeren. Volgens enkele onderzoekers van Positive Technologies heeft de verificatie door middel van een sms zijn langste tijd gehad.

Tijdens een demonstratie hackten ze een neppersoon die een bitcoin wallet heeft bij provider Coinbase. In de proefopstelling was zijn account beschermd met tweestapsverificatie en gekoppeld met Gmail, die eveneens een tweede beveiligingspantser had.

Wat blijkt is dat een sms helemaal niet zo waterdicht is als je zou denken. Zo’n tekstberichtje wordt via verschillende stations verzonden om zo uiteindelijk bij een zendmast terecht te komen. Voor de experts bij Positive Technologies was het een fluitje van een cent om een berichtje te onderscheppen. In een mum van tijd hadden ze een handjevol tekstberichten opgevist, het wachtwoord op het Gmail-account gereset en de controle over de Bitcoin-portefeuille overgenomen. Het enige wat de groep daarbij nodig had, was de naam, achternaam en het telefoonnummer van hun slachtoffer. 

Het beveiligingslek zit in SS7 (Signalling System No 7) dat telefoonnetwerken koppelt om zo informatie te delen die nodig is bij een telefoonoproep en het versturen van een sms. Eens een hacker toegang heeft tot dit systeem, kan hij ook ongezien een gesprek aftappen of – in dit geval – een sms’je opvangen.

We juichten toe dat je je accounts wilt beveiligen, maar best doe je dat niet via een sms’je. Zo laten de meeste diensten toe dat je een code krijgt via een verificatie-app, zoals de universele Google Authenticator. Die app genereert een willekeurige zescijferige code die je samen met je wachtwoord moet ingeven wanneer je op onlinediensten wil aanmelden. Dit is niet alleen veiliger, maar je verliest bovendien geen tijd aan het wachten op een tekstberichtje.

Alles bij de bron; ZDNet