Beheer

Security
SMS 2-factor authentication

Databaselek bewijst weer: SMS faalt als 2-factor beveiliging

Gevoelige informatie gaat over een onversleuteld netwerk.

SMS 2-factor authentication bericht © CC0
19 november 2018

Gevoelige informatie gaat over een onversleuteld netwerk.

Voor 2-factor authentication is het gebruik van een speciale app veel beter te beveiligen dan sms-berichten.

Het gebruik van 2-factor authentication biedt veel meer zekerheid dat alleen bevoegden kunnen inloggen op een account. Organisaties doen er echter verstandig aan niet de 'tweede factor' voor het inloggen te versturen via sms, zoals nu nog vaak gebeurt. Een lek in een database - ontdekt door de Duitse beveiligingsonderzoeker Sébastien Kaul - toont dat nog eens aan.

De Duitser kreeg eenvoudig toegang tot de managed database van Vovox, een bedrijf dat zakelijk sms-verkeer en voice-diensten levert. De database was vanaf het internet makkelijk te vinden, was volledig onbeschermd en compleet doorzoekbaar. Kaul kon zo allerlei gegevens van klanten inzien waaronder 26 miljoen tekstberichten. Daaronder zaten onder meer de sms-berichten die bedrijven als Amazon, Google en Microsoft ter verificatie naar hun klanten stuurden.

De database bleef na de inbraak actief en werd pas offline gehaald toen TechCrunch hierover navraag ging doen. Voor het toepassen van tweestapsverificatie is het beter apps in te zetten zoals Google Authenticator en de Pro-versie van 1Password. Het voordeel is dat er bij deze apps geen gevoelige data verstuurd hoeft te worden om een tweede code te genereren.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.