Databaselek bewijst weer: SMS faalt als 2-factor beveiliging

Het gebruik van 2-factor authentication biedt veel meer zekerheid dat alleen bevoegden kunnen inloggen op een account. Organisaties doen er echter verstandig aan niet de 'tweede factor' voor het inloggen te versturen via sms, zoals nu nog vaak gebeurt. Een lek in een database - ontdekt door de Duitse beveiligingsonderzoeker Sébastien Kaul - toont dat nog eens aan.

De Duitser kreeg eenvoudig toegang tot de managed database van Vovox, een bedrijf dat zakelijk sms-verkeer en voice-diensten levert. De database was vanaf het internet makkelijk te vinden, was volledig onbeschermd en compleet doorzoekbaar. Kaul kon zo allerlei gegevens van klanten inzien waaronder 26 miljoen tekstberichten. Daaronder zaten onder meer de sms-berichten die bedrijven als Amazon, Google en Microsoft ter verificatie naar hun klanten stuurden.

De database bleef na de inbraak actief en werd pas offline gehaald toen TechCrunch hierover navraag ging doen. Voor het toepassen van tweestapsverificatie is het beter apps in te zetten zoals Google Authenticator en de Pro-versie van 1Password. Het voordeel is dat er bij deze apps geen gevoelige data verstuurd hoeft te worden om een tweede code te genereren.