Banken en betalingsdienstverleners verifiëren soms via sms de identiteit van een persoon die een overschrijving of betaling wenst uit te voeren. Ze sturen een sms-bericht met een eenmalig wachtwoord, een zogeheten OTP (One Time Password), naar de mobiele telefoon van die persoon, die dit OTP vervolgens in de applicatie van de bank of betalingsdienstverlener invoert. Maar dat kon weleens veranderen met de komst van de Payment Service Directive (PSD2)-wet.
In deze blogpost ga ik na of sms-authenticatie nog aanvaardbaar zal blijven wanneer de eisen van Strong Customer Authentication (SCA) volgens PSD2 in werking treden. In augustus 2016 publiceerde de European Banking Authority (EBA) haar ontwerpvoorstel voor de technische reguleringsnorm (RTS) ten aanzien van SCA. Mijn analyse is gebaseerd op dit addendum bij PSD2. We verwachten dat de RTS in de komende weken door de EBA wordt afgerond.
Om de vraag te beantwoorden of sms-authenticatie acceptabel zal blijven, nemen we drie scenario’s voor het gebruik van sms in overweging. Vervolgens bespreken we welke van de drie scenario’s voldoen aan de eisen van de RTS.
Scenario 1: two-device authentication (2da)
In dit geval heeft de gebruiker twee onafhankelijke apparaten: een apparaat voor toegang tot de website of een app van een bank, en een ander apparaat voor de authenticatie van de persoon of een betaling.
Het eerste apparaat, dat we het bankapparaat noemen, is typisch een desktop-pc, laptop of een mobiel toestel (zoals telefoon of tablet) waarop een app voor mobiel bankieren draait. Het tweede apparaat, het authenticatietoestel, is een mobiel apparaat dat de sms ontvangt. Wij gaan ervan uit dat de gebruiker zich op de website of app van de bank authenticeert met behulp van de OTP in de sms, samen met een wachtwoord of pincode.
Deze oplossing voldoet aan de Technische Reguleringsnorm indien het wordt gebruikt om zich bij de website of app van de bank aan te melden. De oplossing kan voldoende zijn voor het ondertekenen van een transactie, maar alleen als aan twee voorwaarden voldaan is.
Ten eerste moet het sms-bericht de transactiegegevens (bijvoorbeeld bedrag en begunstigde) bevatten. Ten tweede moet de inhoud van het sms-bericht tijdens het transport en de ontvangst door het mobiele apparaat beschermd zijn tegen wijzigingen. Aan deze laatste eis wordt door sms-berichten niet makkelijk voldaan omdat ze meestal niet beschermd zijn.
Vandaar dat in het algemeen sms-authenticatie wel is te gebruiken om zich aan te melden, maar niet om te ondertekenen.
Scenario 2: two-app authentication (2aa)
In tegenstelling tot het vorige scenario steunt deze benadering niet op twee verschillende apparaten, maar op twee verschillende apps die op hetzelfde mobiele apparaat draaien. De apps communiceren via zogenaamde app-to-app–communicatie. We verwijzen naar deze apps als respectievelijk de bank-app en de authenticatie-app. De authenticatie-app verzoekt en ontvangt de sms-berichten.
Standaard-sms-authenticatie is niet voldoende om twee redenen. Ten eerste is de sms in transit te onderscheppen en te wijzigen. Ten tweede kan de sms op het mobiele apparaat onderschept worden door malware. Dat betekent dat niet wordt voldaan aan de vereiste van de RTS, namelijk dat er twee verschillende kanalen moeten worden gebruikt.
De oplossing wordt aanvaardbaar indien de inhoud van het sms-bericht beschermd wordt door een end-to-end beveiligd kanaal dat eindigt in de authenticatie-app, zodat alleen de app het sms-bericht kan decoderen. Dit is echter niet de standaardbenadering.
Scenario 3: one-app authenticatie (1aa)
In dit geval gebruikt de gebruiker niet alleen één apparaat, maar ook slechts één applicatie om transacties te initiëren en te verifiëren. De gebruiker gebruikt geen aparte authenticatie-app of -toestel.
Dit scenario is niet in overeenstemming met de PSD2-eisen, omdat het niet via twee kanalen verloopt. Het gebruik van sms verandert hieraan niets.
Conclusie
We wachten nog steeds op de definitieve eisen voor sterke authenticatie volgens PSD2. Maar als er niets verandert ten opzichte van het huidige voorstel, is het duidelijk dat sms-authenticatie moeilijk aan de voorwaarden zal voldoen, in het bijzonder wat de eisen voor het goedkeuren van betalingen betreft.
Frederik Mennes, manager market & security strategy bij Vasco Data Security
Meer over de mogelijkheden van data
Voor bedrijven draait alles anno 2017 om data. Daarom is het thema van de ICT-vakbeurzen Infosecurity.be, Storage Expo en The Tooling Event in 2017: Data Centric World. Bezoekers krijgen hier inzicht in de ontwikkelingen in IT-security, IT-storage en servicemanagement. De vakbeurzen vinden plaats op 22 en 23 maart in Brussels Expo. Bezoek nu de website voor meer informatie over het thema, het programma en een gratis ticket.
