Het oude sms kan niet langer goed dienst doen voor twee-factor authenticatie. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
De oude telecomtechniek sms (short message service) doet al vele jaren dienst, maar wordt steeds verder teruggedrongen. Alternatieve communicatiediensten voor tekst groeien tegen de klippen op, mede doordat ze meer mogelijkheden bieden. Soms wordt sms sluw ‘ontweken’, zoals in het geval van Apple’s iMessage dat bij wederzijds iOS-device geen sms-bericht verstuurt, maar een eigen versleutelde iMessage.
Naast mens-tot-mens communicatie wordt sms ook gebruikt voor extra controle van identiteit bij gevoelige log-ins: twee-factor authenticatie (2FA). Dit doet dienst voor overboekingen bij internetbankieren, maar ook voor inloggen bij alsmaar belangrijkere online-accounts. Google heeft een eerste stap gezet om sms uit te faseren, ten gunste van een moderner alternatief dat dan beter beveiligd is én meer mogelijkheden biedt. Sms is vorig jaar al ongeschikt voor 2FA verklaard door het NIST. hst voldoent niet meer voor die beveiligingsmaatregel. Wat vind jij?
Ik ben het eens met deze stelling en vind dat SMS niet meer volstaat als authenticatiemiddel.
Kortweg zie ik de volgende problemen:
– Veiligheid. Er zijn heel wat aanvallen bekend op SMS-authenticatie. Die aanvallen zijn gebaseerd op malware op smartphones die SMS-berichten onderschept, of gebaseerd op het uitbuiten van kwetsbaarheden in het SS7 netwerk protocol. De inhoud van SMS-berichten is niet gëncrypteerd.
– Gebruiksgemak. Andere technologiën, zoals push notification, zijn veel gemakkelijker te gebruiken. Bij SMS moet je de inhoud van het bericht overtypen, bij push notification moet je gewoon op een knop op je smartphone duwen.
– Betrouwbaarheid. SMS berichten komen soms te laat, of helemaal niet, aan bij de bestemmeling.
– Compliance. Het is mogelijk dat SMS-authenticatie voor betalingen niet zal toegelaten zijn onder PSD2.