In juli 2016 kondigde NIST (National Institute of Standards and Technology in de V.S.) aan dat het alle vormen van authenticatie die gebruik maken van het telefoonnetwerk, zoals SMS-authenticatie, niet meer toe wil staan in toekomstige versies van haar veelgebruikte standaard voor sterke authenticatie. De achterliggende reden is het risico dat berichten die via het telefoonnetwerk verzonden worden door derden kunnen worden afgeluisterd of omgeleid 1.
De aankondiging staat in de draft van de nieuwe versie van de NIST standaard voor sterke authenticatie SP800-63-3:
...
Mede naar aanleiding van dit advies van NIST zullen wij in overleg met de instellingen op zoek gaan naar alternatieve authenticatiemiddelen waarin we aspecten als beveiliging, gebruiksvriendelijkheid en toepasbaarheid (denk aan: kosten, browserondersteuning, apparaat-onafhankelijkheid) zorgvuldig moeten afwegen. We bieden als alternatief voor SMS natuurlijk al de tiqr-app (voor iOS en Android gebruikers) en hebben bijvoorbeeld ook al geëxperimenteerd met U2F, maar gezien de beperkte browser-ondersteuning is dat voorlopig geen volwaardig alternatief voor SMS. Tenslotte komt binnenkort de mogelijkheid beschikbaar voor een instelling om op de registratie-portal van Sterke Authenticatie bepaalde tokens (zoals SMS) niet te tonen, zodat gebruikers deze tokens niet kunnen kiezen als tweede factor.
Wordt vervolgd...
...
1 Hier een aantal verhalen die illustratief zijn voor het omleiden van SMS verkeer:
https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124
https://www.forbes.com/sites/laurashin/2016/12/20/hackers-have-stolen-millions-of-dollars-in-bitcoin-using-only-phone-numbers/