Het gebruik van SMS voor twee-factor authenticatie is altijd nog beter dan geen tweede factor, maar er zijn andere, modernere en veiligere twee-factor authenticatiemiddelen beschikbaar voor SURFsecureID, zoals tiqr, Yubikey en binnenkort FIDO2. We laten het nog over aan de keuzevrijheid van de instelling of zij SMS wel/niet willen gebruiken als twee-factor authenticatiemiddel maar we merken wel dat veel instellingen SMS als 2e factor al niet meer toe staan.
SURF ontmoedigd het gebruik van SMS als tweede factor. Hieronder wat uitleg over waarom we dit doen.
Veiligheid
In juli 2016 kondigde NIST (National Institute of Standards and Technology in de V.S.) aan dat het alle vormen van authenticatie die gebruik maken van het telefoonnetwerk, zoals SMS-authenticatie, niet meer toe wil staan in toekomstige versies van haar veelgebruikte standaard voor sterke authenticatie. De achterliggende reden is het risico dat berichten die via het telefoonnetwerk verzonden worden door derden kunnen worden afgeluisterd of omgeleid 1.
...
NIST is het instituut dat standaarden en beleid voor de Amerikaanse overheid ontwikkelt en hun standaarden worden vaak als best practices beschouwd. We volgen deze ontwikkeling en de doorontwikkeling van de standaarden voor sterke authenticatie op de voet.Het gebruik van SMS voor twee-factor authenticatie is altijd nog beter dan geen tweede factor, maar we realiseren ons dat er andere, modernere en veiligere twee-factor authenticatiemiddelen op de markt zijn. We laten het initieel over aan de keuzevrijheid van de instelling of zij SMS wel/niet willen gebruiken als twee-factor authenticatiemiddel en merken al dat een aantal instellingen overwegen om SMS als 2e factor niet meer toe te staan.
Ook de instelling heeft een rol bij het veilig gebruiken van SMS. Het veiligheidsrisico bij het gebruik van SMS bestaat uit de mogelijkheid het SMS bericht te kunnen onderscheppen. Dit risico ligt deels in het netwerk van de telecomaanbieder en daarmee buiten de directe invloedssfeer van de instelling, maar voor een belangrijk gedeelte ligt dit risico daar waar de instelling en/of de gebruiker er wel invloed op hebben namelijk: het automatisch doorsturen van SMS berichten via VOIP, email of andere messaging technologieën. Dit doorsturen leidt tot extra risico omdat deze protocollen vaak niet versleuteld zijn of toegankelijk zijn met de eerste factor (gebruikersnaam/wachtwoord) van de gebruiker.
Mede naar aanleiding van dit advies van NIST zullen wij in overleg met de instellingen op zoek gaan naar alternatieve authenticatiemiddelen waarin we aspecten als beveiliging, gebruiksvriendelijkheid en toepasbaarheid (denk aan: kosten, browserondersteuning, apparaat-onafhankelijkheid) zorgvuldig moeten afwegen. We bieden als alternatief voor SMS natuurlijk al de tiqr-app (voor iOS en Android gebruikers) en hebben bijvoorbeeld ook al geëxperimenteerd met U2F, maar gezien de beperkte browser-ondersteuning is dat voorlopig geen volwaardig alternatief voor SMS. Tenslotte komt binnenkort de mogelijkheid beschikbaar voor een instelling om op de registratie-portal van Sterke Authenticatie bepaalde tokens (zoals SMS) niet te tonen, zodat gebruikers deze tokens niet kunnen kiezen als tweede factor.
Kosten
Het versturen van SMS-jes is niet gratis en afhankelijk van het gebruik kan dit aardig oplopen. Als een instelling besluit SMS toe te staan binnen SURFsecureID krijgt de instelling 500 SMS-jes per maand gratis. Daarna kosten de SMS-jes € 0,055 per SMS. Voor een overzicht van deze en andere tarieven en voorwaarden van SURFsecureID, zie Voorwaarden en tarieven.
Gebruikersvriendelijkheid
Bij het gebruik van SMS als tweede factor krijgt de eindgebruiker een code opgestuurd naar de mobiele telefoon en moet deze ingevoerd worden op het apparaat waarmee ingelogd wordt (dit kan dezelfde mobiele telefoon zijn, een tablet, laptop of desktop computer). Dit overtypen van de code is omslachtig en foutgevoelig. Bij tiqr als tweede factor is dit bijvoorbeeld niet nodig. Tiqr werkt met push meldingen waardoor er niks meer overgetypt hoeft te worden door de gebruiker.Wordt vervolgd...
...
1 Hier een aantal verhalen die illustratief zijn voor het omleiden van SMS verkeer:
https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124
https://www.forbes.com/sites/laurashin/2016/12/20/hackers-have-stolen-millions-of-dollars-in-bitcoin-using-only-phone-numbers/