SMS “IKKE” voor een andere identiteit

Gepubliceerd door Henk-Jan Angerman op

Vertelt een SMS-bericht eigenlijk wel de waarheid? Weet je zeker dat een SMS-bericht van de juiste persoon of instantie komt of dat je eigen bericht uiteindelijk wel op de juiste plaats belandt? De geleerden zijn het er inmiddels allemaal wel over eens dat het gebruik van alleen een gebruikersnaam en wachtwoord onveilig is. Voor toegang tot belangrijke gegevens, je bankgegevens, de HR-portal van het bedrijf of misschien wel gewoon je Facebook-account. Het voorkomen van misbruik van persoonlijke gegevens of identiteit is een cruciaal doel van iedere IT-security professional en SMS kan daar een belangrijke rol bij spelen.

Twee-factor authenticatie of sterke authenticatie vormt hierbij een belangrijke schakel. Een extra authenticatiefactor wordt hierbij toegevoegd waarmee misbruik moeilijker wordt. Short Message Service (SMS) via het mobiele telecom netwerk is al jaren een heel populaire en succesvolle oplossing gebleken als extra authenticatie-middel. Gebruikersnaam, wachtwoord en een eenmalige autorisatie-code via SMS vormen een schijnbaar onbreekbare combinatie.

sms two-factor is dead

Telecom vs. datacom

Dat het SMS-verkeer niet via een datanetwerk maar via het mobiele telecomnetwerk verloopt is hierbij een belangrijke factor. IP-gebaseerde datanetwerken zijn gevoeliger voor inbraak, voor malware en voor allerlei andere manieren waarmee hackers zich toegang proberen te verschaffen tot systemen van consumenten, overheden en bedrijven. Ondanks dat het niet onmogelijk is, is het veel moeilijker om in te breken op de communicatie binnen de vaak gesloten netwerken (GSM, UMTS) van mobiele telecomproviders. Het is niet onmogelijk, maar er zijn meer en grote investeringen nodig om in te breken op deze netwerken, zeker in vergelijking tot de relatief eenvoudige toegang tot IP-netwerken middels vrij verkrijgbare malware-scripts en andere hacking-tools.

Een ander belangrijk feit dat spreekt voor SMS is dat het mobiele bereik van GSM/UMTS beter is dan dat van 3G/4G datanetwerken. Vooral op afgelegen plaatsen en in gebouwen is het ontvangen van een SMS vaak geen probleem, terwijl een mobiele internetverbinding dan niet altijd beschikbaar is. De combinatie van naam, wachtwoord en een SMS-code lijkt dus alleen maar voordelen te hebben.

Exit SMS?

Desondanks heeft het Amerikaanse NIST (National Institute of Standards and Technology) onlangs aangegeven SMS voor authenticatiedoeleinden minder geschikt te gaan beoordelen en op termijn zelfs af te raden. Een van de belangrijke redenen hiervoor is dat SMS-diensten tegenwoordig ook via VoIP-netwerken mogelijk zijn, welke (zoals andere IP-netwerken) makkelijker zijn te hacken dan de eerder genoemde telecomnetwerken. SMS-authenticatie zou alleen moeten worden toegestaan wanneer deze gegarandeerd over deze telecom netwerken zou verlopen en niet via VoIP-diensten, zegt het NIST.

Van tweefactor naar multifactor SMS authenticatie

Toonaangevend fabrikant Censornet ondersteunt het betoog van het NIST maar zet ook enkele kanttekeningen: “SMS-authenticatie is een succesvolle en een relatief eenvoudige technologie die al jarenlang trouwe diensten verleent en wellicht daarom alleen al door sommigen uitgefaseerd zou moeten worden. Nieuwere technologieën zijn beschikbaar, sommige zijn eenvoudig te implementeren, de meeste zijn meer complex, maar allemaal streven ze hetzelfde doel na: veilige authenticatie door een gebruiker die is wie hij/zij zegt te zijn. SMS is hierbij vooralsnog de meest effectieve en efficiënte manier.”

SMS Passcode van Censornet gaat verder dan de standaard tweefactor SMS authenticatie (2FA). Binnen de multifactor authenticatie (MFA) van SMS Passcode wordt per authenticatieverzoek een nieuwe en unieke code gegenereerd voor die specifieke sessie en er wordt dus niet een bestaande lijst met codes gebruikt. Tevens wordt per sessie op meer bijzondere kenmerken gecontroleerd, zoals GEO-locatie, netwerk IP-adres, gebruikte systeem, tijd van aanvraag en meer. Al deze aanvullende kenmerken en controles maken van SMS Passcode daadwerkelijk een Next Generation SMS authenticatie methode.

Ook security-leverancier WatchGuard, bekend van de vooruitstrevende UTM firewall oplossingen, bevestigt het verhaal van SMS Passcode. “Tweefactor authenticatie is een absolute must om de identiteit van een gebruiker te kunnen garanderen. Er zijn verschillende manieren om dit te doen, maar authenticatie via SMS is op dit moment de meest veilige en breed inzetbare manier hiervoor. Een belangrijk argument is tevens dat het voor de gebruiker zeer eenvoudig in gebruik is en daardoor makkelijk wordt geaccepteerd; een van de belangrijkste argumenten voor een goede naleving van iedere security policy.”

Bewezen en betrouwbaar

Authenticatie via SMS is op dit moment de veilige en vertrouwde manier voor het bepalen van de gebruikersidentiteit, zeker wanneer dit wordt aangevuld met multifactor authenticatie. Wanneer andere manieren, zoals smartphone apps, irisscans of vingerafdrukken, in de praktijk en op lange termijn voldoende betrouwbaar blijken te zijn en minder gevoelig zijn voor misbruik, dan zal deze “oude technologie” wellicht zijn plaats kunnen gaan afstaan aan zijn opvolger. Maar tot die tijd is gebruikersauthenticatie via SMS gewoon de beste oplossing.


Oudere posts Nieuwere posts


Scroll To Top