Openbare telefoonnetwerken zijn niet geschikt voor authenticatie. In plaats van multifactorauthenticatie (MFA) via sms is een app-gebaseerde authenticatie een betere oplossing.
Dat stelt Alex Weinert, directeur Identity Security bij Microsoft, in een blogpost.
Absolute must
Weinert vindt MFA een absolute must, maar niet via openbare telefoonnetwerken. Er kleven meerdere nadelen aan het gebruik van bijvoorbeeld sms voor het ontvangen van one-time passwords. Het sms-formaat is niet veranderbaar. Innovaties op het gebied van bruikbaarheid en security zijn daardoor erg beperkt.
TAN-codes
Sms gebruikt ook geen versleuteling. Kwaadwillenden hebben regelmatig van het SS7-protocol gebruikgemaakt om mobiele TAN-codes in handen te krijgen. Een ander risico is onder meer sim-swapping: criminelen slagen erin om het telefoonnummer van hun slachtoffer op hun eigen simkaart op te slaan. Zij doen dit door medewerkers van telecomproviders te social engineeren, te phishen of om te kopen.
Phishing
“Helaas zijn analoge telefoniesystemen (PSTN) niet honderd procent betrouwbaar”, schrijft Weinert. Daardoor kan het gebeuren dat berichten niet aankomen. Een ander probleem met sms is de beperkte hoeveelheid informatie die naar een gebruiker verzonden kan worden. Hierdoor vormt phishing een serieuze dreiging, vervolgt Weinert. “We willen de gebruiker zoveel context als mogelijk geven. Sms en spraakformaten beperken onze mogelijkheid om de context te bieden waaronder de authenticatie is aangevraagd.”
App
De beste oplossing voor MFA is volgens de directeur Identity Security een app. Die maakt versleutelde communicatie mogelijk. Bovendien kan er meer context geboden worden.
Klik hier voor de blogpost van Alex Weinert.