Waarom telefonische authenticatie onveilig kan zijn
Belangrijkste leerpunten
- Hackers kunnen op telefoons gebaseerde multi-factor authenticatie (MFA) codes stelen, zeggen experts.
- Telefoonbedrijven zijn misleid om telefoonnummers over te dragen zodat criminelen de codes kunnen krijgen.
- Een eenvoudige, goedkope manier om de beveiliging te vergroten, is door de authenticator-app op uw telefoon te gebruiken.
Om je te beschermen tegen hackers, stop met het gebruik van op de telefoon gebaseerde multi-factor authenticatie (MFA) codes die worden verzonden via sms en spraakoproepen, schrijft een topbeveiligingsexpert in een nieuwe analyse.
Telefooncodes zijn kwetsbaar voor onderschepping door hackers, schreef Alex Weinert, directeur identiteitsbeveiliging bij Microsoft, in een: recente blogpost. Op tekst gebaseerde codes zijn beter dan niets, zeggen waarnemers. Maar gebruikers moeten telefonische authenticatie vervangen door apps en beveiligingssleutels.
"Deze mechanismen zijn gebaseerd op openbaar geschakelde telefoonnetwerken (PSTN), en ik geloof dat ze de minst veilige zijn van de MFA-methoden die momenteel beschikbaar zijn", schreef hij.
"Die kloof zal alleen maar groter worden naarmate MFA-adoptie de interesse van aanvallers vergroot om deze methoden te doorbreken en de speciaal gebouwde authenticators hun beveiligings- en bruikbaarheidsvoordelen vergroten. Plan nu uw overstap naar wachtwoordloze sterke auth - de authenticator-app biedt een onmiddellijke en evoluerende optie."
MFA is een beveiligingsmethode waarbij een computergebruiker pas toegang krijgt tot een website of applicatie nadat hij met succes twee of meer bewijsstukken heeft voorgelegd aan een authenticatiemechanisme. Deze codes worden vaak telefonisch verzonden.
Hackers doen alsof ze jou zijn
Er zijn echter manieren waarop hackers toegang kunnen krijgen tot telefooncodes, zeggen waarnemers. In sommige gevallen zijn telefoonbedrijven misleid om telefoonnummers over te dragen zodat hackers de codes kunnen krijgen.
"Telefoons zijn zo onveilig dat gebruikers vaak zwendeloproepen krijgen vanuit derdewereldlanden terwijl ze Amerikaanse regionale telefoonnummers tonen," Matthew Rogers, CISO van cloudprovider Syntaxis, zei in een e-mailinterview. "Telefoons zijn ook onderhevig aan sim-swapping-aanvallen, die MFA gemakkelijk kunnen omzeilen via sms."
Onlangs werd de populaire BBC-radiopresentator Jeremy Vine het slachtoffer van een aanval die ertoe leidde dat zijn WhatsApp-account werd binnengedrongen.
"De aanval die Vine met succes heeft misleid, begint met de ontvangst van een schijnbaar ongevraagd sms-bericht die de tweefactorauthenticatiecode voor hun account bevat", zegt Ray Walsh, expert op het gebied van gegevensprivacy bij de privacybeoordelingssite ProPrivacy, zei in een e-mailinterview.
"Daarna ontvangt het slachtoffer een direct bericht van een contactpersoon die beweert hen per ongeluk een code te hebben gestuurd. Ten slotte wordt het slachtoffer gevraagd om de hacker de code door te sturen, waarmee hij direct toegang heeft tot het account van het slachtoffer."
Software kan ook een probleem zijn. "Vanwege de kwetsbaarheden van het apparaat kan de MFA mogelijk worden afgeluisterd door een lekkende app of een gecompromitteerd apparaat waarvan de gebruiker niet op de hoogte is", George Freeman, oplossingenadviseur bij de overheid groep van Risicooplossingen van LexisNexis, zei in een e-mailinterview.
Geef je telefoon nog niet op
Op tekst gebaseerde MFA is echter beter dan niets, zeggen experts. "MFA is een van de krachtigste tools die een gebruiker heeft om zijn accounts te beschermen", zegt Mark Nunnikhoven, vice president cloud research bij cyberbeveiligingsbedrijf Trend Micro, zei in een e-mailinterview.
"Het moet waar mogelijk worden ingeschakeld. Als je de keuze hebt, gebruik dan een authenticatie-app op je smartphone, maar zorg er uiteindelijk voor dat MFA in welke vorm dan ook is ingeschakeld."
Een eenvoudige, goedkope manier om de beveiliging te vergroten, is door de authenticator-app op uw telefoon te gebruiken, Peter Robert, mede-oprichter en CEO van IT-bedrijf Expert Computer Solutions, zei in een e-mailinterview.
"Als je het budget hebt en de beveiliging van cruciaal belang vindt, raad ik je aan om op hardware gebaseerde MFA-sleutels te evalueren", voegde hij eraan toe. "Voor bedrijven en particulieren die zich zorgen maken over beveiliging, zou ik ook een dark web aanbevelen monitoringservice om u te laten weten of persoonlijke informatie over u beschikbaar is en te koop is in het donker web."
Voor een meer Mission Impossible-stijl aanpak, de nieuwe standaard FIDO2 met Webauthn maakt gebruik van biometrische authenticatie, zegt Freeman. "De gebruiker maakt verbinding met een financiële site, voert een gebruikersnaam in, de website neemt contact op met het mobiele apparaat van [de] gebruiker, een beveiligde app op [de] telefoon vraagt de gebruiker vervolgens om [hun] gezichts-ID of vingerafdruk. Als dit lukt, wordt de websessie geverifieerd", zei hij.
Met zoveel mogelijke bedreigingen, is het misschien tijd om op zoek te gaan naar veiligere manieren om in te loggen op websites die persoonlijke informatie opslaan. Hackers kunnen op het web op de loer liggen en wachten om uw wachtwoord te onderscheppen.