Een lezer vroeg me:
Regelmatig zie ik nog sites en diensten waar men tweefactorauthenticatie (2FA) aanbiedt via een SMS bericht. Steeds meer experts (zoals het Amerikaanse CISA) zijn het er over eens dat dit echt niet meer kan. Nu weet ik dat de wet (art. 32 AVG) open normen kent, maar wanneer kunnen we zeggen dat dit gewoon niet meer adequaat is?Inderdaad eist de AVG geen concrete maatregelen maar houdt zij het bij “adequate” beveiligingsmaatregelen. Of 2FA via SMS adequaat is, is dan iets dat de verwerkingsverantwoordelijke moet aantonen. En als er een datalek of ander incident was dankzij bijvoorbeeld sim swapping, dan wordt dat een lastig verhaal.
AVG-toezichthouders zijn niet erg scheutig met concrete adviezen over wat wel of niet adequaat meer is. De AP verwijst heel algemeen naar een factsheet uit alweer 2018 van de NCTV waarin men stelt “Het NIST geeft aan terughoudend om te gaan met het publieke telefoon netwerk (SMS en spraak) als authenticatiemiddel voor tweefactorauthenticatie.”
Uiteindelijk is het een risico-analyse. Als jij als organisatie de kans op sim-swapping of andere aanvallen op het SMS-kanaal verwaarloosbaar acht (bv. gezien de aard van je dienst) of je hebt aanvullende maatregelen om dergelijke aanvallen te mitigeren, dan is dat AVG-technisch prima te verantwoorden. Je moet er dus vooral over nagedacht hebben.
In de context van financiële diensten gelden de security-eisen die voortvloeien uit de PSD2 (Payment Services Directive). De daaronder liggende Strong Customer Authentication Regulatory Technical Standard (SCA RTS) schrijft in artikel 4 expliciet multi-factor authenticatie voor met een aantal randvoorwaarden. In 2018 heeft de Europese Banking Authority nog aangegeven dat SMS mogelijk voldoet voor het communiceren van inlogcodes, maar niet voor het doorsturen van inhoudelijke informatie.
Een update van dergelijke aanbevelingen is eigenlijk de enige manier om de markt in beweging te krijgen, afgezien van ernstige incidenten die met een andere 2FA voorkomen hadden kunnen worden.
Arnoud
een voordeel van 2FA via SMS is dat het eenvoudig is. Er zijn genoeg mensen waarvoor wachtwoorden, PIN-codes, tokens en apps heel ingewikkeld zijn. Voor 2FA via SMS hoef je geen speciale app en het blijft werken als je een nieuwe telefoon neemt.
Voor mezelf zou ik inderdaad liever alles via TOTP doen, maar ik ben blij dat minder technische mensen de SMS optie hebben. Geen 2FA is namelijk minder veilig dan SMS.
Nu noem je met TOTP ook wel iets dat wel vrij onhandig is (wel simpel, vandaar de populariteit), en ook maar marginaal veiliger dan SMS.
Volgens mij is het onbegrip van mensen voor andere methoden helemaal niet zo groot als je schrijft. Zo lukt het toch bijna iedereen wel om in te loggen op internetbankieren met gebruik van de app van de bank. FIDO2 met platformidentifier moet ook best goed te snappen zijn (kennen mensen toch al als “FaceID” bv). Bovenal moeten we als er hindernissen zijn die wegnemen in plaats van SMS gebruiken met het argument dat de rest niet gebruiksvriendelijk is.
Kun je uitleggen waarom je denkt dat totp maar marginaal veiliger is ?
En als je een gebruikersvriendelijke manier wilt dan is er (al een hele tijd en nog steeds) SQRL
TOTP is net zo triviaal phishable als een sms-code. Het heeft geen enkele manier van device binding. Het biedt geen enkele garantie dat het werkelijk een tweede factor is – het is gewoon mogelijk het wachtwoord en de TOTP-secrets op dezelfde machine op te slaan en beschikbaar te hebben.
Onze ambitie reikt toch in 2025 wel verder dan “iets is beter dan niets” mag ik hopen.
Wat heeft TOTP nu met twee-factor-authenticatie te maken?
Een herinnering aan het gebruik om acroniemen ook een keer uit te schrijven en/of te voorzien van een link naar een beschrijving?
Oneens. TOTP is ‘simpel te omzeilen’ door bv. phishing (massaal of spear). SMS is ‘simpel te omzeilen’ door simswapping (spear). Maar TOTP (voor Thijs: “jeweetweldie regelmatig veranderende 6-cijferige codes in je authenticator app”) vereist tenminste nog interactie door de user. SMS-verificatie kan worden overgenomen (juist) als de user slaapt zonder hun inbreng.
Bijvoorbeeld https://en.wikipedia.org/wiki/Passwordless_authentication is weer een stuk beter. Maar dan ook complexer voor de eindgebruiker. Er zijn nog steeds mensen die afhaken als er meer dan een eenvoudige telefoon nodig is. En ook dat is niet onfeilbaar. Sessies zijn nog steeds te jatten.
Vandaar: zelf afwegen en bepalen wat adequaat is.
Een telefoon is voor mij niet eenvoudig, maar extreem moeilijk. Zelfs gewoon iemand terugbellen die belde, kost vaak 10 minuten, omdat er na indrukken van de betreffende knop helemaal niets gebeurt. Er is geen terugkoppeling bij Android, het verschilt tussen traag en doet gewoon niks is niet te zien. Ik kan echt niks met zo’n beroerde interface.
En ik ben bepaald geen digibeet: IT-ervaring sinds 1976, professioneel vanaf 1980, en ook nu nog dagelijks ca. 12 uur op de laptop bezig, inclusief zelf uitgevoerd systeembeheer, en web- en mailserverbeheer.
Hoezo is de app van een bank veiliger? Daar moet op inloggen met een 5-cijferige code, terwijl een sms doorgaans 6 cijfers stuurt. En face-ID kan zelfs gebruikt worden als iemand buiten bewustzijn is, dus dat komt helemaal niet veilig over.
Het is eenvoudiger een medewerker van een telecombedrijf om te kopen (of te bedreigen) en zo een gekloonde sim voor dat 06-nummer te krijgen, dan om in de it-infrastructuur van de bank in te breken en security credentials om te buigen zodat jij iemands account kunt gebruiken.
Dan moet je wel dure, moderne telefoon hebben, en elke drie jaar een nieuwe kopen, omdat Google nog steeds weigert om Android upgradebaar te maken. (Dat moest toch nu?)
Ik heb vooral een smartphone, zonder buiteninternet maar alleen via wifi, altijd afdankertjes van vrouw of kinderen, juist om die beveiligings-sms-en te kunnen ontvangen. Apps doen het vaak niet vanwege de te oude Android-versie. Verder doe ik niks met die telefoon, want ik vind Android onwerkbaar slecht ontworpen, ik doe ALLES op mijn laptop, met Linux uiteraard, niet dat onwerkbare Windows.
En nu ga ik straks toch gedwongen worden tot die achterlijke apps? https://rudhar.com/sfreview/appgekte/nl.htm
Eens. Aan mijn ouders merk ik letterlijk dat ze niet om kunnen gaan met de meeste vormen van beveiliging die er zijn. Ze kunnen alleen uit de voeten met e-mail, SMS en bellen, alles wat anders gaat moeten ze aan anderen overlaten en dat is al bij veel zaken het geval. Ik ben niet voor in stand houden van SMS als middel, maar wel voor een middel dat echt voor iedereen werkbaar is.
Zelf gebruik ik SMS 2FA omdat het moet met bijv. DigiD. Ik laat de SMS-code dan op m’n vaste lijn voorlezen. Voor mij hoeft het niet. Heb wel een smartphone, maar daar staan geen bankzaken op. Gebruik ‘m wachtwoordloos als camera en om te worden gebeld. Zelden kijk ik op ov9292. Bankzaken doe ik met zo’n paslezertje.
Ik help een blinde kennis. Luister dan naar zijn iPhone die ik via mijn vaste lijn hoor om zo de code voor hem in te tikken. Het lukt hem niet om dit zelf te doen. Op dit moment is ie al wat maanden aan het hannesen met Face-ID. 9 van de 10x vult ie uiteindelijk zijn wachtwoord maar in. Ik denk dat ie beter af was geweest met Touch ID, maar die zit niet meer in de 15. Probleem is dat ie zijn geluidsinstallatie bediend met z’n iPhone. Aan bankzaken is ie nog niet toegekomen. Daar gebruikt ie nog altijd de ING Saldolijn voor.
Als SMS niet meer gaat werken, wat is dan wel de optie voor veilig gebruik, die ook werkbaar is voor mensen die blind zijn, of een touchscherm niet kunnen bedienen?
NB. Accessibility is sinds kort verplicht voor iets grotere bedrijven. Maar zelf de firma’s die claimen je ermee te kunnen helpen, zijn zelf niet compliant.
Blogje: https://rudhar.com/sfreview/noshuznl.htm
Ook dit blog voldoet niet aan de eisen van WCAG. Het mijne wel, hoewel dat voor mij niet verplicht is.
Wat doen mensen met enkel een PC?
Er is toch niemand die geloofd dat een gewone smartphone veilig is. Ik gebruik heel bewust een pc en zeker geen “slimme telefoon”. Alain het echt belangrijk wordt waarschijnlijk een stand alone microcontroller.
Standalone microcontroller is mischien wat wer. Al hoe wel, voor internet bankieren is een scanner die een soort gekleurde QR code scanned wel heel dichtbij. Dus mischien heb je wel gelijk.
Qua smartphone. Idd, een smartphone is zeker niet veilig. Ik snap dat veel mensen altijd een telefoon bij zich hebben, maar het is geen secuur apparaat. Ook niet als het OS wel up to date is, en dat zie ik veel mensen in mijn familie al niet doen. Android upgrade is ‘eng’. “Werkt mijn telefoon dan nog wel?” “Help! een icon staat op een andere plek! Paniek!” enz enz.
Een standalone microcontroller hoeft echt niet groot meer te zijn. Aan een sleutelhanger of zelfs in een smartphone hoesje kan perfect (maar dus geen schrijfrechten vanuit de smartphone).
Een klein display neemt geen plaats in.
Een grotere uitdaging is het krijgen van updates. Dat duurt soms best lang of ze zijn er redelijk kort na de aanschaf van een toestel al mee gestopt.
Dus een upgade van Android is wel mogelijk!? Dat is nieuw voor mij. Dank.
Ik heb (als gebruiker) goede ervaringen met security-keys voor 2FA. Makkelijk in gebruik (in USB slot stoppen en aanraken) en ook makkelijk mee te nemen aan je sleutelbos. Welke protocols ondersteund worden is afhankelijk van het merk en type van de sleutel. (Ja, er zit een microcontroller in zo’n sleutel.)
Het beheer van deze sleutels binnen een organisatie is niet zo moeilijk, vergelijkbaar met elektronische toegangskaarten voor deuren e.d. Ik heb nog niet gezien dat het mogelijk is om autorisaties voor onafhankelijke organisaties op een sleutel te laden.