NIST acht sms ongeschikt voor tweetrapsauthenticatie

Het Amerikaanse National Institute of Standards and Technology, oftewel NIST, heeft in een concept van een guideline aangegeven dat het gebruik van sms voor authenticatiedoeleinden ongeschikt is. In de toekomst zou deze methode dan ook niet meer toegepast mogen worden.

De zogenaamde 'Digital Authentication Guideline' is een document dat aangeeft op welke manier ontwikkelaars veilige software kunnen bouwen en hoe overheden en andere organisaties de veiligheid van producten kunnen inschatten, zo meldt Softpedia. In een recente conceptversie van deze richtlijn gaat het instituut, dat onder andere verantwoordelijk is voor de standaardisering van encryptie, in op tweetrapsauthenticatie door middel van sms.

In de richtlijn schrijft het NIST dat het gebruik van sms voor out of band-authenticatie afgeschaft is, oftewel 'deprecated' in de woorden van NIST. Deze manier van authenticatie zou in de komende richtlijnen dan ook niet meer toegestaan zijn. In de huidige richtlijn kan dat nog wel, al moet bij verificatie van tevoren vastgesteld worden of een telefoonnummer daadwerkelijk op een mobiel netwerk aanwezig is, en niet door een voip-dienst wordt aangeboden. Dit zou te grote risico's met zich meebrengen.

Het instituut gaat zelf niet op de risico's in, maar volgens Softpedia zouden berichten via voip-diensten onderschept kunnen worden. De organisatie stelt dat authenticatie-applicaties voor smartphones de voorkeur hebben bij out of band-authenticatie. Daarbij is er een kanaal aanwezig voor privécommunicatie, naast een tweede kanaal voor de authenticatie zelf.

NIST identificeert wel andere risico's van authenticatiemethodes, zo kan een fysieke authenticator in de vorm van bijvoorbeeld een telefoon gestolen worden. Ook zijn duplicatie, phishing en social engineering voorbeelden van dergelijke risico's. Om deze te bestrijden voert NIST enkele oplossingen aan, zoals multifactorauthenticatie bij diefstal of dynamic outputs bij phishing, waardoor een eenmalig gestolen code geen toekomstige codes prijsgeeft.

Lees meer

IT Banen

Reacties (88)

Foxy66
26 juli 2016 20:07

Beetje raar verhaal hoor. Time based tokens zijn minder veilig als SMS, plus ze zijn moeilijker te implementeren.

Waarom time based tokens onveilig zijn;

Time based tokens hebben een zwakte; de private key, als je die hebt kan je alle codes (vooruit) uitrekenen.
Bij time based tokens (RSA of APP) moet je de token/private key transporteren, en daarmee loop je risico op onderschepping. Dat kan via de private key naar de app (google auth), of de token op de post.

Waarom SMS veiliger is;

De tweede factor, mids juist geimplementeerd, verlaat het gebouw via een ander netwerk (GSM netwerk).
De OTP word ter plekke random gemaakt, en is daardoor niet voorspelbaar.

Komt nog eens bij dat SMS stukken gebruiks vriendelijker is, en iedereen heeft zijn telefoon bij zich. Om een SMS te onderscheppen, heb je dure apparatuur nodig, en je moet ook in de buurt van je 'target' zitten.

[Reactie gewijzigd door Foxy66 op 26 juli 2016 20:10]

keesdewit
@Foxy66 • 26 juli 2016 22:16

Volgens mij mis je nu net de context van het verhaal. Het sturen van een code via SMS wordt door NIST niet meer als veilig genoeg gezien.

In essentie kent SMS dezelfde zwakheden als de zwakheden die jij aandraagt voor TOTP. Het is weliswaar niet de private key die onderschept kan worden, maar de communicatie naar de mobiele telefoon. In veel gevallen is er geen dure apparatuur voor nodig. Daarbij komt dat de attack surface veel groter is voor SMS authenticatie. Je moet niet vergeten dat een SMS bericht via veel (soms ongecontroleerde en slecht beveiligde) kanalen zijn route aflegt. Eén fout in al die schakels van de keten kan het door jou veilig geachte out-of-band kanaal (gsm netwerk) ineens onveilig maken.

In feite is SMS authenticatie op internationaal niveau helemaal niet zo gebruiksvriendelijk. Ga er maar eens klanten in India of Amerika mee bedienen. Dan loop je tegen veel gebruiksonvriendelijke situaties aan waar de code door (soms) onverklaarbare reden niet aankomt. Het spijt me, maar ook de voorspelbaarheid van de code waar je het over hebt trek ik in twijfel. Vaak zijn het 5 getallen dus een kans van één op honderdduizend. Het is volledig afhankelijk van het mechanisme wat de code genereert of deze voorspelbaar is of niet.

Qua implementatie heb ik beide geïmplementeerd. Ik kan je vertellen dat TOTP veel makkelijker te implementeren is dan SMS authenticatie. Het kost ongeveer 3 keer minder effort (volgens het backlog) om TOTP te implementeren ten opzichte van SMS authenticatie.

Veiligheid zit overigens niet alleen in het middel. Men vergeet vaak dat de uitgifte van het inlogmiddel is minstens zo belangrijk.

[Reactie gewijzigd door keesdewit op 26 juli 2016 22:46]

Foxy66
@keesdewit • 27 juli 2016 07:41

Ik heb ze ook beide geïmplementeerd, en ben nog steeds voorstander van SMS. Veel prettiger voor de eind gebruikers.En dat de een ongeveer 3 keer minder effort kost ben ik niet eens, dat ligt er maar net aan hoe je het precies aanpakt...

Ikkerens
@Foxy66 • 3 augustus 2016 08:50

Ik denk dat het hier deels te maken heeft met wat onlangs vaak gebeurt.

Er zijn in de laatste periode veel "hacks" geweest van grote youtubers, juist door SMS verificatie te misbruiken.
De "hackers" komen achter wat privéinformatie van hun doel (naam, geboortedatum) en nemen contact op met de telefoonprovider voor een nieuwe SIM kaart, dit blijkt verbazingwekkend makkelijk te zijn.

Natuurlijk is het probleem hier het menselijke element, en niet het technische element. Maar door de "derde partij" dat in essentie controle heeft over je SMS weg te halen, blijft het risico toch iets meer bij de daadwerkelijke gebruiker.

Tigerblood
26 juli 2016 17:40

Maar voor je DigiD is tweetrapsauthenticatie nog steeds slechts optioneel en ook alleen mogelijk via SMS.

Ik snap sowieso niet wat die SMS optie voor nut heeft als je gewoon kan kiezen voor inloggen zonder SMS verificatie. Je kunt toch nergens vastleggen dat inloggen alleen mogelijk is mét SMS verificatie?

jona
@Tigerblood • 26 juli 2016 18:21

Bij DigiD heb je twee inlogniveaus, namelijk Basis en Midden. Basis vereist alleen een gebruikersnaam en wachtwoord, terwijl Midden ook gebruik maakt van sms authenticatie. Een organisatie kan Midden verplicht stellen en daardoor ervoor zorgen dat inloggen alleen kan met extra sms authenticatie. Maar als gebruiker kun je ook daarvoor kiezen. Als je inlogt op de Mijn DigiD website kun je je voorkeurs inlogniveau opgeven. Als je daar kiest voor Midden log je elke keer standaard in met een extra sms controle. Dit geldt ook voor sites die dat niet verplicht hebben gesteld.

Ik heb het zelf meteen aangezet toen ik het wist. DigiD is tegenwoordig zo belangrijk dat het eigenlijk verplicht zou moeten zijn om sms controle aan te hebben staan.

CJ_Latitude
@jona • 26 juli 2016 19:15

En ze zijn nu ook net bezig met een pilot omtrent niveau Hoog, waarbij een smartcard gebruikt moet worden voor de tweede trap.

robbinwehl
@jona • 27 juli 2016 08:59

Goed omschreven Jona,

Wanneer ik bijvoorbeeld wijzigingen wil maken in mijn verzekeringspolis moet ik inloggen met 2 staps verificatie.
Wanneer ik puur mijn ingediende declaraties wil bekijken is inloggen met alleen een wachtwoord voldoende.

cdwave
@jona • 27 juli 2016 15:38

...DigiD is tegenwoordig zo belangrijk dat het eigenlijk verplicht zou moeten zijn om sms controle aan te hebben staan.

Ik gebruik het precies een keer per jaar voor de aangifte. Elk jaar opnieuw moet ik een nieuw wachtwoord aanvragen via de post.

Gewoon ondertekenen met een code zoals een paar jaar geleden was veel makkelijker, en veiliger, want met die code kon je nog steeds niet bij de gegevens.

Voor jou is DigiD misschien belangrijk, voor mij alleen maar lastig.

Olympus884
@cdwave • 27 juli 2016 16:53

en DIE oude ondertekenings-code kon je wél onthouden, en het DigiD wachtwoord niet?

cdwave
@Olympus884 • 29 juli 2016 11:20

Vijf cijfers die ik zelf mocht uitzoeken. Geen probleem, ik weet ze nu nog...

Tigerblood
@jona • 26 juli 2016 18:28

Kijk! Dat is informatie waar je wat aan hebt. Bedankt jona $_/-\o_$

Panzer_V
@jona • 26 juli 2016 19:16

Super! Thanks. Dat wist ik ook niet. Heb direct aanpassingen doorgevoerd in mijn profiel.

dehardstyler
@jona • 26 juli 2016 19:18

Top tip!!! Heb het gelijk aangepast! Thanks!

ErikJanVens
@jona • 26 juli 2016 22:16

Dank je. Dat wist ik niet. Ik heb het meteen ingesteld.

3raser

@jona • 27 juli 2016 13:36

Ik heb het meteen ingesteld. Ik zag wel direct een privacy probleempje. Zodra ik nu inlog komt mijn telefoonnummer dik gedrukt in beeld te staan omdat op dat nummer mijn SMS binnen zou komen. Dat wil ik niet, want iedereen kan over je schouder meekijken. Laat dan bijvoorbeeld alleen de laatste 2 of 3 cijfers zien.

Daarnaast vind ik de SMS-code vervelend lang. Een code van 5 karakters is toch meer dan voldoende lijkt me? Brute force is toch niet mogelijk als je na 1 foutieve poging een nieuwe SMS stuurt.

Aetje
@jona • 27 juli 2016 15:05

DigiD is tegenwoordig zo belangrijk dat het eigenlijk verplicht zou moeten zijn om sms controle aan te hebben staan.

Handig voor mensen die geen mobiel hebben en/of willen... Die kunnen dan geheel geen gebruik van DigiID maken!

[Reactie gewijzigd door Aetje op 27 juli 2016 15:07]

Nickname55
@jona • 28 juli 2016 09:52

Er zijn toch heel wat mensen die geen mobiel hebben. Bijv. bejaarden die in een verzorgingstehuis zitten. En Digid gerelateerde zaken laten regelen door een ander, kinderen bijv. Voor die situaties ist beetje vervelend om inloggen via SMS te verplichten.

Anoniem: 399807
@Tigerblood • 26 juli 2016 19:22

Niet altijd. Ik moest inloggen op mijn zorgverzekeraar en die eiste eenmalig een SMS verificatie. Aangezien ik geen mobiele telefonie had gaven ze me feitelijk de middelvinger. Jammer voor je. Ik moest dus alsnog een GSM versieren voor die ene keer.

SeaFish
@Anoniem: 399807 • 26 juli 2016 20:43

Ik weet dat als ik mijn ouders een sms stuur, een 'computerstem' de sms voorleest, misschien eens testen of dat bij jou ook zo is?

Ultrapc
@Anoniem: 399807 • 26 juli 2016 21:31

Je kan voor de optie kiezen om de sms te laten voorlezen, waardoor je hem op een vaste lijn kan ontvangen. Geen sms nodig dus, en ik neem aan dat je wel gewoon een vaste lijn hebt

Anoniem: 399807
@Ultrapc • 27 juli 2016 13:29

Die optie heb ik nog nooit van gehoord, no pun intended. En ik zag er geen opmerking over op de inlog pagina van DigiD of van de zorgverzekeraar. Is dit recent?

JimDeelen
@Tigerblood • 26 juli 2016 17:56

Volgens mij (correct me if Im wrong) krijg je als je met tweetraps inlogd meer rechten, er zijn bepaalde handelingen die je alleen kunt doen als je met sms inlogd.

Foxhill
@JimDeelen • 26 juli 2016 19:01

Je kunt bij je DigId instellingen ervoor kiezen altijd met SMS code in te loggen. Ik heb hiervoor gekozen.

Panzer_V
@Tigerblood • 26 juli 2016 17:57

Je kunt toch nergens vastleggen dat inloggen alleen mogelijk is mét SMS verificatie?

Als gebruiker niet neen. Maar als aanbieder van een website waar je inlogt met DIGID kan je dit dus wel. Zo kan ik mijn zorgverzekering declaraties alleen inzien als ik inlog met DIGID met SMS verificatie.

Tigerblood
@Panzer_V • 26 juli 2016 18:29

Wist ik niet. Ik kies altijd al vrijwillig met SMS dus ik heb nog nooit gemerkt dat je bijvoorbeeld na het inloggen zonder SMS verificatie er gevraagd wordt om mét SMS verificatie in te loggen als je specifieke handelingen wilt uitvoeren.

Olympus884
@Tigerblood • 27 juli 2016 16:55

bespaar je de moeite: "vrijwillig" inloggen met SMS is nutteloos, aangezien een DigID-kraker dus ook kan kiezen om zonder SMS in te loggen.

cobis taba
@Panzer_V • 27 juli 2016 13:33

Dit kun je ook als gebruiker zelf vastleggen. Mijn DigiD is nergens zonder SMS te gebruiken om die reden.

LopendeVogel
@Tigerblood • 26 juli 2016 21:25

Hmm ik kan naar mijn weten niet inloggen zonder de SMS optie te pakken

R4gnax
@Tigerblood • 26 juli 2016 22:33

Maar voor je DigiD is tweetrapsauthenticatie nog steeds slechts optioneel en ook alleen mogelijk via SMS.

Erger nog; het is niet eens optioneel in de zin dat het een niet optie is om enkel tweetrapsauthenticatie voor een account toe te staan, maar optioneel in de zin dat je tijdens het inloggen de keuze krijgt om voor die sessie tweetrapsauthenticatie te gebruiken of niet.

Ofwel; het is grotendeels een wassen neus.

Tenzij implementatoren in hun individuele services hebben afgedwongen dat je er alleen op in kunt loggen met tweetrapsauthenticatie, of dat je zonder tweetrapsauthenticatie slechts met zwaar ingeperkte rechten kunt inloggen, zal een fraudeur die jouw wachtwoord heeft gewoon kiezen om zonder tweetrapsauthenticatie in te loggen en gaan met die banaan.

Soldaatje
26 juli 2016 16:29

Er zijn nog altijd twee factoren, met alleen de sms of alleen de inlog-gegevens kan een aanvaller niks.
Wat dat betreft lijkt het mij prima veilig.

DrSnuggles
@Soldaatje • 26 juli 2016 16:33

Wat nou als die aanvaller je inlog heeft, en je telefoonnummer spooft met voip? Zoals in het artikel staat.

kwikstaart
@DrSnuggles • 26 juli 2016 16:40

Dat staat niet in het artikel volgems mij. Als je voor authenticatie een VOIP nummer gebruikt, dan kan dat account gehackt worden. Maar aangezien jij en ik waarschijnlijk een mobiel nummer gebruiken, een normaal 06-nummer met een sim-kaart in een fysieke smart- dan wel dumbphone, is dat spoofen nog niet zo eenvoudig.

Spoofen is trouwens toch alleen dat de gebelde een ander nummer te zien krijgt dan dat waarmee gebeld wordt. Het wil niet zeggen dat je de spoofer ook aan de lijn krijgt als je dat nummer terugbelt.

The Zep Man

Netwerk en systeembeheer
Security

@kwikstaart • 26 juli 2016 16:46

Dat staat niet in het artikel volgems mij. Als je voor authenticatie een VOIP nummer gebruikt, dan kan dat account gehackt worden. Maar aangezien jij en ik waarschijnlijk een mobiel nummer gebruiken, een normaal 06-nummer met een sim-kaart in een fysieke smart- dan wel dumbphone, is dat spoofen nog niet zo eenvoudig.

Vertel dat maar tegen de slachtoffers van SIM-kaartfraude (waarbij een nieuwe SIM wordt aangevraagd en uit de brievenbus wordt gevist) en mobiele banking malware.

[Reactie gewijzigd door The Zep Man op 26 juli 2016 16:49]

johnkeates
@The Zep Man • 26 juli 2016 17:01

Of timsi catches die je voor 300 euro kan regelen...

TeleMax
@johnkeates • 26 juli 2016 18:51

Die zijn zwaar illegaal zonder huiszoekingsbevel.. Tenzij je politie bent en toestemming van een rechter-commissaris hebt. Anders is het verboden.

johnkeates
@TeleMax • 26 juli 2016 19:12

Identiteitsfraude is anders ook geen lachertje. In dit geval gaat het niet over of het legaal is of niet, want we zitten nu al in de 'illegale dingen gebeuren waardoor SMS niet meer betrouwbaar is'-fase. We kunnen ook stellen dat je niet stiekem als iemand anders mag inloggen, en dat dat illegaal is, en dat alleen de politie dat mag, en daarom wachtwoorden overbodig zijn, maar zo werkt de wereld niet.

De reden dat je wachtwoorden gebruikt is om dat er mensen zijn die zich niet perse aan de regels houden, en dat is helaas een glijdende schaal met ontwikkelaars die constant dingen moeten bedenken om dat tegen te houden en stoute mensen die manieren vinden om het toch te doen.

Waar dat eerst gewoon over iemands schouder meekijken was, daarna misschien dictionary attacks en daarna phishing is dat nu dus even met je zelfgebouwde timsi catcher je doelwit schaduwen. Het is allemaal illegaal, maar dat betekent niet dat het niet gebeurt of dat je je er niet tegen hoeft te wapenen.

ASS-Ware
@The Zep Man • 26 juli 2016 18:04

Vertel dat maar tegen de slachtoffers van SIM-kaartfraude (waarbij een nieuwe SIM wordt aangevraagd en uit de brievenbus wordt gevist) en mobiele banking malware.

Die moeten tegenwoordig toch eerst geactiveerd worden?
Net als credit cards die je met de post krijgt.
En dat activeren kan alleen door in te loggen op een website waarvan alleen jij het user id en password hebt.

wauwwie
@The Zep Man • 26 juli 2016 19:39

Ik had laatst een nieuw sim kaart gehaald, en 5 min na activatie in de winkel kreeg ik een SMS van ING bank dat ik de komende 12 uur geen betaling kon doen via SMS/TAN code. En dit terwijl ik de nieuwe SIM nog niet eens had gebruikt.

Afgezien van de privacy (kennelijk stuurt KPN/Telfort gelijk aan ING door dat ik een andere SIM heb), lijkt mij dit een prima maatregel tegen sim-kaartfraude.

R4gnax
@wauwwie • 26 juli 2016 22:07

Afgezien van de privacy (kennelijk stuurt KPN/Telfort gelijk aan ING door dat ik een andere SIM heb), lijkt mij dit een prima maatregel tegen sim-kaartfraude.

Goed dat de timing zo snel was.

Anders maakt het zaken voor meneer de crimineel alleen nog maar makkelijker geworden: even SIM-kaartje frauderen en in een eigen burner phone zetten en dan gelijk te zien krijgen bij welke services de telefoon in kwestie voor SMS-tweetrapsauthenticatie gebruikt wordt, omdat niet jij maar hij (of zij) de SMS notificaties ontvangt.

[Reactie gewijzigd door R4gnax op 26 juli 2016 22:10]

Wim-Bart
@kwikstaart • 26 juli 2016 16:48

Techiek is heel erg simpel doch een grote bedreiging. iemand heeft alleen een kloon van je SIM nodig en iedere SMS die naar jou gaat gaat ook naar dat toestel.

Het enige wat je ziet is dat je spook authenticatie berichten krijgt en dan is het al te laat.

ocf81
@Soldaatje • 26 juli 2016 16:34

Alleen heeft SMS het probleem dat het makkelijk onderschept kan worden, met name op smartphones. Je kan dus niet zonder meer zeker zijn dat het antwoord ook van degene komt waaraan je de verificatie wil hebben. Het kan ook via malware onderschept worden. (naast de andere manieren van onderscheppen zoals het spoofen van nummers richting de SMS centrale)

[Reactie gewijzigd door ocf81 op 26 juli 2016 16:36]

Salafor
@Soldaatje • 26 juli 2016 16:37

Twee onveilige authenticatie methoden maken geen veilige authenticatie methode. Met name bij gerichte aanvallen (zie onder andere de recente Social Engineering aanvallen op YouTube beroemdheden).

Dit telt natuurlijk met name bij gerichte aanvallen. Maar dat maakt het nog steeds zwak. En wie weet wordt het in de toekomst alleen maar makkelijker om dit soort 'loopholes' te misbruiken.

Beschrijving van de 'hack' op h3h3Productions:
https://www.youtube.com/watch?v=caVEiitI2vg

Beschrijving van de 'hack' op Linus Tech Tips:
https://www.youtube.com/watch?v=LlcAHkjbARs

[Reactie gewijzigd door Salafor op 26 juli 2016 16:39]

TheGhostInc
@Soldaatje • 26 juli 2016 16:39

Wat dat betreft lijkt het mij prima veilig.

Voor je GMail of voor de lanceercodes van de nucleaire raketten van de VS?

NIST geeft vooral aan dat je SMS niet kunt zien als volwaardig 'out of band'.
Voor bepaalde toepassingen is minimaal tweetrapsauthenticatie nodig. SMS met login haalt niet dat niveau. Maar het is uiteraard veel veiliger dan alleen een login.

Dit is dan ook voornamelijk interessant voor security officers en verse implementaties. SMS als tweede trap is echt niet ineens onveilig(er) geworden, maar het wordt wel tijd om voor hele kritische systemen toch scherpere eisen te hanteren en andere oplossingen te kiezen.

R4gnax
@TheGhostInc • 26 juli 2016 22:17

NIST geeft vooral aan dat je SMS niet kunt zien als volwaardig 'out of band'.

Maar dat zijn smartphone authenticatie applicaties, die door NIST als alternatief aangedragen worden, ook niet.

Ze zijn in principe nog minder out-of-band dan SMS, juist omdat ze als user-app draaien op een smartphone die gevoelig is voor malware aanvallen vanaf het internet.

Bij SMS is er nog de mogelijkheid om een goedkope dumbphone zonder internetconnectie aan te schaffen en die uitsluitend voor tweetrapsauthenticatie te gebruiken. (Bijkomend voordeel is ook dat je dat nummer verder geheim kunt houden, want het wordt niet als gewoon telefoonnummer gebruikt.)

Er is in principe maar één degelijk alternatief en dat is een losstaande, niet in enige vorm via digitale communicatie verbonden, key generator gebaseerd op een open protocol, waar je zelf account-koppelingen op kunt installeren. En dan dat laatste middels een air-gapped challenge-response mechanisme; uitdrukkelijk niet door de key met een PC of ander device te verbinden en er een bestand naar te uploaden.

[Reactie gewijzigd door R4gnax op 26 juli 2016 22:20]

Kenpachi1337
@Soldaatje • 26 juli 2016 17:23

toen linus media group werd gehackt laatst (dmv social engineering) kwam dat doordat iemand zijn telefoon nummer had overgenomen en via dat nummer te werk ging. Het kan dus worden gebruikt door hackers om op je account te komen, dat lijkt mij het grootste probleem hiermee.

het komt ook niet helemaal overeen met wat jij zegt "met alleen de sms of alleen de inlog-gegevens kan een aanvaller niks" Het bovenstaande geschiedde puur op basis van een telefoonnummer dat werd gekaapt.

PostHEX
@Kenpachi1337 • 26 juli 2016 21:33

Wel belangrijk om te vermelden hoe een telefoonnummer kan worden gestolen d.m.v. van social engineering. De engineer past Call-ID spoofing toe, en belt vervolgens naar je telco. De telco ziet dat het Call-ID overeen komt met dat van de klant. Vervolgens hoeft de engineer alleen nog maar een geloofwaardig praatje te verzinnen (vaak is dat niet eens nodig), en je bent binnen.

Dit kan echter worden voorkomen als je geheime credentialen afspreekt met je telco, waarvan die elke keer benodigd zijn voordat een operator iets mag en kan veranderen of uitvoeren.

Kenpachi1337
@PostHEX • 26 juli 2016 21:40

wist niet dat je geheimpjes met ze kan maken, thnx, goed om te weten

R4gnax
@Kenpachi1337 • 26 juli 2016 22:22

het komt ook niet helemaal overeen met wat jij zegt "met alleen de sms of alleen de inlog-gegevens kan een aanvaller niks" Het bovenstaande geschiedde puur op basis van een telefoonnummer dat werd gekaapt.

Yup. Helaas is het vaak zo dat het sidechannel van de tweetraps-authenticatie ook misbruikt kan worden als recovery methode voor het wachtwoord en evt. ook de gebruikersnaam.

kritischelezer
@Soldaatje • 26 juli 2016 17:27

Men heeft aangetoond dat het niet al te moeilijk is om een simkaart op te vragen bij de provider van het potentiele slachtoffer.

J_Gonggrijp
26 juli 2016 22:40

Als SMS niet meer mag, wat blijft er dan nog over. Google Authenticator is meestal niet beschikbaar, en bovendien wil ik eigenlijk helemaal niet dat Google weet waar ik inlog. Ze weten daar al veel te veel over me.

Public key encryption dan maar? Ik vrees dat een meerderheid van de gebruikers geen zin zal hebben om daarmee om te leren gaan.

keesdewit
@J_Gonggrijp • 26 juli 2016 22:43

Google weet (via de authenticator) niet waar je inlogt. Kijk maar in de broncode van de Google authenticator. Er is geen communicatie met Google. Daarnaast zijn er tal van alternatieven voor de Google authenticator applicatie.

[Reactie gewijzigd door keesdewit op 26 juli 2016 22:44]

J_Gonggrijp
@keesdewit • 26 juli 2016 23:01

Ik kan dat niet opmaken uit de broncode. Ten eerste bevat de Readme in de GitHub-repo deze disclaimer:

These apps are not on the app stores, and their code has diverged from what's in the app stores, so patches here won't necessarily show up in those versions.

Kortom, wat ik daar lees, zegt niet noodzakelijkerwijs iets over de Google Authenticator die daadwerkelijk op mijn telefoon terechtkomt. Een beetje als Chrome en Chromium; Chromium is misschien wel keurig (ik heb de broncode niet gelezen), maar je weet niet op welke manier Chrome daarvan afwijkt.

Ten tweede staat er nergens in de documentatie een expliciete claim dat er niet gecommuniceerd wordt met Google. Daardoor zie ik onvoldoende reden om al die code door te spitten.

Maar tal van alternatieven, dat klinkt wel goed. Is er ook eentje die daadwerkelijk kans maakt om als standaard gebruikt te worden, zodat we niet 100 verschillende authenticators op onze telefoon hoeven te installeren? Heb je toevallig een suggestie hoe we kunnen voorkomen dat de makers van die authenticator op zeker moment teveel macht krijgen?

RobIII
@J_Gonggrijp • 26 juli 2016 23:50

en bovendien wil ik eigenlijk helemaal niet dat Google weet waar ik inlog

Ten tweede staat er nergens in de documentatie een expliciete claim dat er niet gecommuniceerd wordt met Google. Daardoor zie ik onvoldoende reden om al die code door te spitten.

Al zou Google Authenticator communiceren met Google; je hebt een X aantal van die codes in je scherm staan (die gewoon client-side (en al was het server side...)) uitgerekend worden op basis van een 'formule' die gebaseerd is op een enkel gegeven die je ooit (bij aanmaken/activeren van 2FA) hebt gekregen. Dus dan weten ze nog niet welke van de X codes je op dat moment gebruikt hebt. Er zijn voor Google (maar ook FB etc.) vele makkelijkere manieren om bij te houden waar je wel/niet komt (kijk bijvoorbeeld naar de like knopjes die op zowat elke pagina staan, of captcha's of...).

Maar tal van alternatieven, dat klinkt wel goed. Is er ook eentje die daadwerkelijk kans maakt om als standaard gebruikt te worden, zodat we niet 100 verschillende authenticators op onze telefoon hoeven te installeren?

Dat ga ik even kortaf beantwoorden door je te verwijzen naar een eerdere reactie die ik plaatste. Het maakt niet uit welke app je gebruikt (in principe); ze doen (en werken!) allemaal 'tzelfde; op basis van een 'geheime sleutel' (die je gekregen hebt bij 2FA activatie van dat account, doorgaans middels het scannen van een QR code) en wat rekenwerk een code uitrekenen die X seconden geldig is (er zijn een boel details maar dat is op de wikipedia pagina's, de RFC's maar ook bijvoorbeeld in (mijn

) 2FA library terug te vinden).

En er is geen "macht" te behalen met die apps; als één je niet aanstaat neem je een andere. Er is dan ook geen sprake over iets dat "daadwerkelijk kans maakt om als standaard gebruikt te worden". De RFC's zijn, if anything, de standaard.

[Reactie gewijzigd door RobIII op 27 juli 2016 00:59]

J_Gonggrijp
@RobIII • 27 juli 2016 00:44

Ik ben blij dat je dit uitlegt, want hierdoor ging ik Wikipedia nalezen over TOTP en zo kwam ik FreeOTP van Red Hat tegen. Die vertrouw ik wel (en is bovendien maar 800 KB). Als ik jouw uitleg en die van Wikipedia goed begrijp, kan ik die dus overal gebruiken in plaats van Google Authenticator.

Mensen zoals ik krijgen onterecht de indruk dat Google Authenticator uniek is, doordat websites die 2FA via OTP aanbieden (bijna) altijd expliciet schrijven dat je Google Authenticator moet installeren. Ik heb nog nooit gezien dat een website suggereerde om Google Authenticator of een andere OTP client te gebruiken. Sterker nog, volgens mij wordt het meestal gewoon 2FA "via Google Authenticator" genoemd en wordt de term (T)OTP helemaal niet genoemd.

Ik merk aan je reacties dat je je ergert aan die misvatting. Begrijpelijk, maar het komt door een gebrek aan voorlichting.

Dit alles terzijde, is 2FA via TOTP voor mijn gevoel maar marginaal veiliger dan 2FA via SMS. Public key authentication is wat mij betreft nog steeds de ultieme oplossing.

jurroen

@J_Gonggrijp • 27 juli 2016 09:54

Yep. Ik gebruik zelf FreeOTP, op een beveiligde telefoon. (dwz, hardened Android zonder Google diensten, met een paar open source apps die ik volledig vertrouw)

Ik ben tot heden geen website of applicatie tegengekomen die 2FA aanbiedt via Google Authenticator maar niet compatible is met FreeOTP. Vooral doen dus!

DigitalExorcist
26 juli 2016 16:34

"Iets wat je weet, iets wat je hebt, en iets wat je bent". Da's de beste methode..

1) Een (sterk!) wachtwoord
2) Een token + pincode die alleen jijzelf weet
3) Een vingerafdruk of irisscan

Maar ja. Het valt of staat natuurlijk met hoe die authenticatie verstúúrd wordt. En dan nog, dan weet je zeker dat je praat met wie je denkt te praten, maar dat kan alsnog met een onbetrouwbare partij zijn..

timberleek
@DigitalExorcist • 26 juli 2016 18:05

vingerafdrukken enzo zijn totaal niet handig.

Allereerst kun je ze niet veranderen en laat je ze overal achter. Geweldige combinatie. Oftewel, iedereen kan jouw vingerafdruk overal krijgen. Bovendien zijn vingerafdrukken snel beschadigd in het dagelijks leven. Dagje klussen en het kan zomaar zijn dat je de nodige beschadigingen hebt aan je vingers.

Irisscan zal voor veel toepassingen niet haalbaar en/of te duur zijn gok ik

R4gnax
@timberleek • 26 juli 2016 22:27

Irisscan zal voor veel toepassingen niet haalbaar en/of te duur zijn gok ik

Daarnaast is het niet praktisch voor bril- of lensdragers, waarbij een scan vaak niet goed gelezen wordt.

[Reactie gewijzigd door R4gnax op 26 juli 2016 22:28]

MadEgg

Netwerk en systeembeheer

@DigitalExorcist • 26 juli 2016 16:56

Een token + pincode dat alleen jijzelf weet is ongeveer gelijk aan een wachtwoord: beide iets wat je weet. Dan mist iets wat je hebt nog. Dat zou een bankpas kunnen zijn. Wellicht een fysieke authenticator. Al is 2FA in de meeste gevallen wel afdoende natuurlijk.

Hennie-M

@MadEgg • 26 juli 2016 17:01

Dat is natuurlijk niet helemaal waar. Een token is meestal een hardware device die is goedgekeurd in een vertrouwde omgeving. Er zijn ook soft-tokens maar dat is niet fantastisch en zie ik ook niet meer gebruikt worden.

DigitalExorcist
@Hennie-M • 26 juli 2016 20:17

Ik bedoelde de SecurID hardwarematige tokens eigenlijk.. Dat had ik er niet bij gezegd

dus: iets wat je weet+iets wat je hebt. Dan alleen nog iets "wat je bent", dus vingerafdruk of irisscan.

netman
26 juli 2016 16:32

Oud nieuws. In 2010 zei GovCert dit al.

https://www.computable.nl...op-sms-authenticatie.html

SomerenV
26 juli 2016 16:27

Ik lees nu vooral dat sms ongeschikt is. Punt is alleen dat sms wereldwijd zo'n beetje de standaard is qua berichten versturen. Wat voor alternatief gaan ze hier tegenover zetten?

Wiejeben
@SomerenV • 26 juli 2016 16:32

Met bijvoorbeeld Google Authenticator, hierbij verandert de code elke zoveel seconden en hier heb je geen internet op je mobiel voor nodig.

https://en.wikipedia.org/...e-time_Password_Algorithm

kidde

@Wiejeben • 26 juli 2016 16:44

De DigID SMS werkt toch ook met dynamic outputs? Volgens mij ook eenmalige paswoorden maar dan 1 kwartier geldig.

Twixie
@kidde • 26 juli 2016 17:36

Ja, maar als ik die SMS onderschep, dan geraak ik binnen en jij niet (in de veronderstelling dat ik ook je andere credentials heb).
Met zo een authenticator moet je nog altijd fysiek het toestel hebben dat de code genereert (Google authenticator app, RSA token, etc...).

teacup
@kidde • 26 juli 2016 17:40

Zo'n kwartiertje is wel veiliger, maar ook dan is het niet ondenkbaar dat er misbruik van kan worden gemaakt.

Zou daarom weer een revisie van DigID zijn te verwachten? DigID kan stellen dat het de aanbevelingen al geïmplementeerd heeft.

Van de andere kant moet onze overheid roomser zijn dan de paus. Discussie over de veiligheid van DigID is iets wat de overheid kan missen als kiespijn. DigID heeft in het verleden al te vaak ter discussie gestaan.

Op zich is met de hernieuwde discussie over de veiligheid van mechanismes als SMS helemaal niets mis. Maar zelfs een multifactor authenticatie verkleint op zijn best het risico. Weg is het nooit, ondanks de extra inspanning van mensen en organisaties.

t1mmy
@SomerenV • 26 juli 2016 16:31

Lezen.

Om deze te bestrijden voert NIST enkele oplossingen aan, zoals multifactorauthenticatie bij diefstal of dynamic outputs bij phishing, waardoor een eenmalig gestolen code geen toekomstige codes prijsgeeft.

DrSnuggles
@SomerenV • 26 juli 2016 16:34

Een app? Tja, dan wordt het misschien een wirwar aan authenticatie apps op je telefoon (waar dan ongetwijfeld weer een app voor komt om de boel onder 1 hoed te scharen), en dat is onhandig. Maarja, security gaat niet zo heel lekker met convenience.

418O2
@DrSnuggles • 26 juli 2016 16:36

Google authenticator is open

RobIII
@418O2 • 26 juli 2016 19:28

Is a) helemaal niet boeiend (zie RobIII in 'nieuws: NIST acht sms ongeschikt voor tweetrapsauthenticatie');iedereen kan zo'n app bouwen (kwestie van de RFC's goed implementeren) en b) Google Authenticator is een tijdje 'closed source' geweest (aka proprietary). Het is me even niet duidelijk of dat nog steeds zo is, maar is dan ook helemaal niet interessant (zie a).

RobIII
@DrSnuggles • 26 juli 2016 19:17

Een app? Tja, dan wordt het misschien een wirwar aan authenticatie apps op je telefoon

Die apps zijn allemaal gebaseerd op 'tzelfde (Time-based One-time Password (TOTP - zie RFC 6238) en soms ook HMAC-Based One-time Password (HOTP - zie RFC 4226)) principe/algoritme; het maakt dus geen drol uit welke app je kiest; ze kunnen allemaal (bugs of halfgare implementaties daargelaten) dezelfde codes genereren. Dus of je nou Google Authenticator, Authy, Lastpass Authenticator of een van de andere kiest; het geeft allemaal 'tzelfde resultaat.

[Reactie gewijzigd door RobIII op 26 juli 2016 19:21]

Sured
26 juli 2016 16:33

Lijkt me terecht, met plugins als pushbullet krijg ik smsjes van mijn telefoon direct nasr mijn desktop. Dan is de tweede trap geïntegreerd met de eerste. Idem dito voor het benaderen van websites via de mobiele telefoon.
Een voorbeeld:
Ik krijg tan-codes van de ING gewoon binnen op mijn desktop als ik pushbullet gebruik, en andersom, als ik de ING site op mijn telefoon benader dan krijg ik de SMS op hetzelfde device binnen.

kwikstaart
@Sured • 26 juli 2016 16:42

Dat is met Google Authenticator toch precies hetzelfde.

calvinturbo

@kwikstaart • 26 juli 2016 22:13

Nee, want die staat op je mobiel..

mashell
@Sured • 26 juli 2016 17:29

Ergo om veilig te zijn moet je niet mobiel bankieren en ook geen pushbullet gebruiken (of eigenlijk geen apps van derden gebruiken die toegang tot SMS hebben).

Gamebuster

26 juli 2016 16:30

Gewoon een chip in je brein waarmee je unieke tokens kan genereren

beschoenen
@Gamebuster • 26 juli 2016 16:32

Is dat niet gewoon een wachtwoord dan?

Brummetje

@beschoenen • 26 juli 2016 16:36

Een mens kan iets niet echt uniek maken denk ik. Zal altijd een deel in zitten wat van die persoon is en dus ook te raden voor een ander. Geboortedatum etc.

MadEgg

Netwerk en systeembeheer

@Brummetje • 26 juli 2016 16:54

In principe kunnen mensen beter random data genereren dan een RNG in een PC. Onthouden is een ander verhaal natuurlijk.

Het punt van de chip in je brein die Gamebuster voorstelt moet juist zijn dat de tokens wél voorspelbaar zijn. Of dat eigenlijk niet, maar wel controleerbaar, je moet met zekerheid kunnen zeggen dat de tokens afkomstig zijn uit jouw brein en niet die van iemand anders. Daarmee zijn ze dus niet volledig random, want dan zou de hele 'tweede trap' geen zin hebben.

kwikstaart
@Gamebuster • 26 juli 2016 16:41

Een soort Yubikey dus. Alleen moet er wel een soort synchronisatie plaatsvinden. Als je iedere keer een uniek token genereert, dan moet dat wel op de een of andere manier te verifieren zijn door de gebruikte service, zoals dat bij Yubikey gebeurt.

teacup
@Gamebuster • 26 juli 2016 17:56

Echt niet een hele rare opmerking. Je kan een chip niet kwijtraken of laten stelen. De chip uit het lichaam verwijderen is heel draconisch om iemands identiteit over te kunnen nemen. Of ze actief moet zijn daar twijfel ik net als MadEgg aan. Als ze passief is, wordt het gewoon een factor in de meerfactor authenticatie, die niet makkelijk kwijtraakt.

In dat licht zijn die smartphones geen slimme oplossing. Er gebeurt veel te veel op die dingen om als veilig platform te kunnen doorgaan. Het toepassen van de Smartphone hiervoor is een echte gebruik gedreven benadering geweest.

[Reactie gewijzigd door teacup op 27 juli 2016 07:04]

RAAF12
26 juli 2016 16:34

Het gaat ze erom dat jouw telefoon nummer gespoofed kan worden op een voip server, de verificatie SMS komt niet bij jou aan maar op de malafide server. Die vervolgens de inlog bij je bank/verzekering/overheid DigiID ofzo valideerd.

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

NIST acht sms ongeschikt voor tweetrapsauthenticatie

Lees meer

IT Banen

Reacties (88)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden