Veel mensen weten tegenwoordig wel dat alleen een wachtwoord niet meer veilig genoeg is. Zodra je wachtwoord ergens lekt, komen hackers zo je account in — met alle gevolgen van dien. Om te voorkomen dat hackers je account niet binnenkomen met alléén een wachtwoord, kun je op veel plekken tweestapsauthenticatie instellen (ofwel tweefactorauthenticatie, 2FA of MFA). Dat houdt in dat je naast het invoeren van je wachtwoord nog een extra stap hebt, zoals het invoeren van een code.
Eén van de populairste methode is dat je een SMS bericht ontvangt met een code om in te loggen. Je ontvangt dan na het invoeren van je gebruikersnaam en wachtwoord een code op je telefoon. Nadat je die code invoert ben je pas ingelogd. Hierdoor krijgt een persoon die jouw wachtwoord heeft geen kans om in te loggen. Althans, dat is de bedoeling. Helaas is SMS 2FA niet zo veilig als dat het lijkt.
De gevaren van SMS 2FA
Je zou kunnen denken dat het onveilig is, omdat je telefoon gestolen kan worden door criminelen die vervolgens je inkomende sms'jes bekijken. Maar in werkelijkheid is het nog simpeler voor de criminelen. Ze maken voornamelijk gebruik van de oplichtingsmethode genaamd sim-swapping. In het slechtste geval hoeft de crimineel alleen je telefoonnummer te weten om je sms'jes te onderscheppen. Wat de crimineel doet is jouw provider opbellen met een verhaal dat ze "hun" simkaart kwijt zijn en proberen de medewerker aan de lijn te overtuigen jouw telefoonnummer over te zetten naar een andere simkaart. Die andere simkaart is eentje waar de crimineel toegang tot heeft. Vaak zet de crimineel er druk op door te vertellen dat het een dringend nodig is.
Normaal gesproken hoort de providermedewerker jouw identiteit vast te stellen. Maar als de crimineel genoeg over jou weet, kunnen ze door deze controle komen. Een crimineel kan jouw contact-, NAW en/of bankgegevens verkrijgen via bijvoorbeeld hacks of datalekken die in het verleden hebben plaatsgevonden. Denk bijvoorbeeld aan een webshop waarvan het klantenbestand is uitgelekt.
Waar wordt SMS 2FA gebruikt
Op veel plekken is SMS 2FA nog te gebruiken. Gelukkig wordt er steeds meer gewezen op de (on)veiligheid van SMS 2FA. Bijvoorbeeld door de Consumentenbond. Ten tijde van het schijven van deze blog, ondersteunt DigiD nog steeds SMS 2FA: "Log veilig in met 2 stappen via een sms-code".
Veilige alternatief op SMS 2FA
Je kunt het beste gebruik maken van een alternatieve tweestapsauthenticatie-stap die ondersteunt wordt door de website waar je het wilt gebruikt. Je kunt bijvoorbeeld gebruik maken van een authenticator-app die op basis van de tijd een code genereert, denk aan Google Authenticator. Helaas is deze methode ook niet de aller veiligste. Criminelen kunnen jouw code verkrijgen via phishing websites. Terwijl jij denkt in te loggen in een echte website, die eigenlijk een phishing website is, en jouw gebruikersnaam, wachtwoord en code invoert, voeren de criminelen die gegevens tegelijkertijd in de echte website in. Daardoor komen ze alsnog in jouw account terwijl jij een authenticatie app gebruikt.
Wat een beter alternatief is, is een hardware authenticatie USB (ofwel security key). Dit is een kleine "USB-stick" die je aan je sleutelbos kunt bevestigen. Wanneer je vervolgens ergens inlogt, dien je naast je gebruikersnaam en wachtwoord in te voeren, ook je USB in te pluggen. Pas daarna word je ingelogd. Wil je meer leren over authenticatiesleutels, check dan onze blog Wat is een hardware authenticatie sleutel?. Security keys komen in veel verschillende smaken, daarom hebben we ook de blog Hoe kies je een USB-security key geschreven.
Koop authenticatiesleutels bij Hardwaresleutel.nl
Via onze webshop specialiseren we ons in de verkoop van hardwaresleutels. Wij verkopen alleen hoogstaande authenticatiesleutels die betrouwbaar zijn, zoals YubiKeys van het merk Yubico. Neem 'ns een kijkje in ons assortiment en ontdek de security keys die wij verkopen.