...
SURF ontmoedigd het gebruik van SMS als tweede factor. Hieronder wat uitleg over waarom we dit doen.
Veiligheid
In juli 2016 kondigde NIST (National Institute of Standards and Technology in de V.S.) aan dat het alle vormen van authenticatie die gebruik maken van het telefoonnetwerk, zoals SMS-authenticatie, niet meer toe wil staan in toekomstige versies van haar veelgebruikte standaard voor sterke authenticatieAl lang zijn er zorgen over de veiligheid van SMS bij gebruik voor authenticatie doeleinden. De achterliggende reden is het risico dat berichten die via het telefoonnetwerk verzonden worden door derden kunnen worden afgeluisterd of omgeleid 1.
De aankondiging staat in de draft van de nieuwe versie van de NIST standaard voor sterke authenticatie SP800-63-3:
"5.1.3.2. Out-of-Band Verifiers
Due to the risk that SMS messages or voice calls may be intercepted or redirected, implementers of new systems SHOULD carefully consider alternative authenticators. If the out-of-band verification is to be made using the public switched telephone network (PSTN), the verifier SHALL verify that the pre-registered telephone number being used is not associated with a VoIP (or other software-based) service. It then sends the SMS or voice message to the pre-registered telephone number. Changing the pre-registered telephone number SHALL NOT be possible without two-factor authentication at the time of the change.
Note: Out-of-band authentication using the PSTN (SMS or voice) is deprecated, and is being considered for removal in future editions of this guideline."
NIST is het instituut dat standaarden en beleid voor de Amerikaanse overheid ontwikkelt en hun standaarden worden vaak als best practices beschouwd. We volgen deze ontwikkeling en de doorontwikkeling van de standaarden voor sterke authenticatie op de voet.
Ook de instelling heeft een rol bij het veilig gebruiken van SMS. Het veiligheidsrisico bij het gebruik van SMS bestaat uit de mogelijkheid het SMS bericht te kunnen onderscheppen. Dit risico ligt deels in het netwerk van de telecomaanbieder en daarmee buiten de directe invloedssfeer van de instelling, maar voor een belangrijk gedeelte ligt dit risico daar waar de instelling en/of de gebruiker er wel invloed op hebben namelijk: het automatisch doorsturen van SMS berichten via VOIP, email of andere messaging technologieënapps geïnstalleerd op de mobiele telefoon zelf. Dit doorsturen leidt tot extra risico omdat deze protocollen vaak niet versleuteld zijn of toegankelijk zijn met de eerste factor (gebruikersnaam/wachtwoord) van de gebruiker. Daarnaast is het mogelijk om op een mobiele telefoon apps te installeren die de SMS berichten leest. Een aanvaller kan via die weg de SMS berichten doorsturen en zo de authenticatie codes uitlezen.
Kosten
Het versturen van SMS-jes is niet gratis en afhankelijk van het gebruik kan dit aardig oplopen. Als een instelling besluit SMS toe te staan binnen SURFsecureID krijgt de instelling 500 SMS-jes per maand gratis. Daarna kosten de SMS-jes € 0,055 per SMS. Voor een overzicht van deze en andere tarieven en voorwaarden van SURFsecureID, zie Voorwaarden en tarieven.
...