SMS-TAN

C’t Magazine - - Knowhow | Tweefactorauthenticatie -

Als je mo­bie­le te­le­foon niet werkt om­dat bij­voor­beeld de ac­cu leeg is, of als je er­gens bent waar je geen be­reik hebt, kun je zo'n co­de ui­ter­aard niet ont­van­gen. In de prak­tijk is het soms al ver­ve­lend als je een paar se­con­den op een sms moet wach­ten.

De vei­lig­heid van de­ze me­tho­de staat of valt met de vraag of de mo­bie­le ser­vi­ce­pro­vi­der het sms-be­richt naar het juis­te te­le­foon­num­mer stuurt en er geen ko­pie­ën van het niet ver­sleu­tel­de be­richt bij an­de­ren te­recht­ko­men. Vei­lig­heids­dien­sten zijn er­in ge­slaagd om zich toe­gang te ver­schaf­fen tot ac­counts die via sms'jes be­vei­ligd wa­ren, maar ook hac­kers zijn in staat ge­ble­ken om tekst­be­rich­ten om te lei­den met be­hulp van SS7­aan­val­len. SMS-TAN is daar­om min­der vei­lig dan de even­eens 6-cij­fe­ri­ge co­des van TOTP (Goog­le Au­then­ti­ca­tor).

Veel ban­ken stap­pen af van de sms en kie­zen in plaats daar­van voor een op­los­sing met een co­de via hun ei­gen app die de co­des via een ver­sleu­tel­de ip-ver­bin­ding bin­nen­krij­gen. Als zich ech­ter een tro­jan op je smartpho­ne heeft ge­nes­teld en de bank het ge­bruik van de co­des toe­staat op het ap­pa­raat waar­op ze bin­nen­ko­men, dan helpt ook het ver­sleu­teld ver­stu­ren via de app niet. Het­zelf­de pro­bleem doet zich voor als je de TAN­co­des die je via sms bin­nen­krijgt op de­zelf­de smartpho­ne ge­bruikt als die waar­op ze zijn bin­nen­ge­ko­men. Veel dien­sten ver­stu­ren na een lo­gin­po­ging een sms met een co­de. Vrij­wel ie­der­een heeft een mo­bie­le te­le­foon bin­nen hand­be­reik, en aan­ge­zien een dienst nooit twee iden­tie­ke co­des ver­stuurt, gel­den voor een tro­jan de­zelf­de be­lem­me­rin­gen als bij de TAN-lijst.

PayPal werkt he­laas als eni­ge met 2FA via sms-co­des.

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.