Vanaf 1 januari kunnen klanten niet meer inloggen via sms op de software-omgeving van Afas. Volgens de softwareleverancier uit Leusden is deze vorm van tweefactorauthenticatie niet veilig genoeg.
Afas stelt al enige tijd geleden te zijn begonnen met het uitfaseren van sms-verificatie voor tweefactorauthenticatie. Volgens het bedrijf is intussen bekend dat dit niet volledig veilig is. Zo bestaat er de mogelijkheid dat cybercriminelen de code kunnen onderscheppen. Ook simswapping vormt een risico. Daarbij belt een crimineel, die bij een hack gegevens over een persoon heeft buitgemaakt of op het darkweb heeft gekocht, de telecomprovider van het slachtoffer op en overtuigt hij de medewerker om het 06-nummer over te zetten naar een simkaart die in zijn bezit is.
Afas verplicht al geruime tijd tweestapsverificatie maar sluit het inloggen per sms per 2022 af. Het bedrijf adviseert om dit voortaan via de Pocket App (de Afas-app) te doen. Wel zijn er per 1 januari nog wel andere alternatieven, zoals het via een authenticator van een derde partij inloggen, zoals Google, Microsoft of Lastpass, het inloggen via het eigen bedrijfsnetwerk en de diensten die daaronder vallen (single sign-on), tijdelijk zelf een sms-dienst inrichten en het eenmalig inloggen via een collega.
Brede schaal
Hoewel er al een aantal wordt geroepen dat tweestapsverificatie niet veilig genoeg zijn, wordt het nog op brede schaal gebruikt, onder meer in Nederland bij de overheid (zoals DigiD) of verzekeraars (zoals CZ). Raymond Knops, de Nederlandse demissionair staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, kondigde afgelopen maart wel aan dat de mogelijkheid in te loggen via DigiD met sms-controle op termijn zal verdwijnen.
Wanneer is nog niet duidelijk. Volgens Knops moet er namelijk wel een alternatief worden geboden dat bruikbaar is voor de naar schatting 2,5 miljoen Nederlanders die niet over voldoende digitale vaardigheden beschikken om hun zaken met de overheid gemakkelijk online te regelen.
In de bankwereld zijn inmiddels wel diverse instellingen gestopt met het gebruik van sms-codes voor internetbankieren, zoals verschillende Duitse banken in 2019. In Nederland kondigde bijvoorbeeld ING eind 2020 aan de sms-tan-codes definitief de deur uit te doen.
