Burgers kunnen sms niet meer vertrouwen om extra veilig mee in te loggen.
Inloggen met een tijdelijke code via sms is de meestgebruikte tweede beveiligingsmethode. Het toont aan dat je in bezit bent van je mobiele telefoon – je bent die je bent. Dertien miljoen Nederlanders gebruiken DigiD om in te loggen bij 600 overheidsdiensten. Bij een deel van die diensten kun je alleen inloggen met een tijdelijke code die je via sms ontvangt, zoals bij het regelen van studiefinanciering of op Politie.nl voor het melden van een diefstal. Het is belangrijk dat die diensten goed beveiligd worden, om te voorkomen dat iemand je belastingaangifte of medisch dossier kan inzien. Ook banken gebruiken dubbele authenticatie. Zo kunnen meer dan acht miljoen ING-klanten via een sms’je hun betalingen accorderen.
Sms raakt echter uit de gratie. Het Amerikaanse National Institute of Standards and Technology (NIST) wees vorig jaar in een rapport op de kwetsbaarheden van deze transportmethode. Hackers kunnen een telefoonnummer nabootsen en op die manier toegang krijgen tot de tijdelijke code. Zo kunnen ze – als ze je wachtwoord ook buitgemaakt hebben – toch inloggen. Het kost hackers steeds minder tijd en moeite om de sms’jes te achterhalen. NIST raadt het gebruik van sms als extra beveiligingslaag af en vindt dat bedrijven alternatieve inlogmethodes moeten aanbieden. NIST benadrukt wel dat inloggen met een tijdelijke code via sms nog altijd veel veiliger is dan met alleen een wachtwoord.
DigiD heeft als alternatief voor de sms-controle begin april de DigiD-app gelanceerd om veilig te kunnen inloggen. De overheid wil nog meer inlogmethodes toevoegen, de banken bouwen hun eigen digitale identiteit en techbedrijven als Apple en Google ontwikkelen eigen manieren om apparaten en data te beveiligen. Ingewikkeld? Ja. Onoverzichtelijk? Ja. Vandaar: zes vragen over veilig inloggen.
2. Waarom is sms onveilig? Nu we ook sms-berichten kunnen ontvangen via chatdiensten (zoals Apple iMessage) kan een hacker de tijdelijke code meelezen zonder dat hij je telefoon in bezit heeft. Wie weet heb je die chatdienst slechts met een wachtwoord beveiligd; een hacker heeft dan aan twee gestolen wachtwoorden (niet zelden dezelfde) genoeg om je identiteit na te bootsen. Er is nog een reden dat NIST sms als beveiliingslaag afwijst: het kost hackers minder moeite om op grote schaal sms-verkeer af te luisteren of te manipuleren.
4. Op welke andere manier kunnen we inloggen? DigiD is straks niet meer de enige methode om in te loggen bij overheidsdiensten. De Wet Generieke Digitale Infrastructuur (GID), die nog door de Tweede Kamer geloodst moet worden, regelt ruimte voor commerciële initiatieven, waarbij de burger zijn ‘favoriete’ inlogmethode mag kiezen. Die verdeel-en-heersstrategie levert wel een stapel nieuwe afkortingen en technieken waarop menig burger de tanden zal stukbijten. De kortst mogelijke samenvatting: je kunt bij overheden en zorginstellingen straks veiliger inloggen met DigiD. Dat kan ook met iDIN, een methode die de Nederlandse banken ontwikkelden om je bij webwinkels te identificeren. De andere methode is Idensys, een afsprakenstelsel waarmee je bij overheidsdiensten én bedrijven kunt inloggen. Je zult DigiD niet kunnen gebruiken voor webwinkels.
6. Hoe bescherm ik mijn webaccounts? Denk aan het elfde gebod: activeer altijd dubbele verificatie. Sms is niet de enige manier om je webaccount te beschermen met een extra identiteitscheck. De QR-code is een goed alternatief. Bijvoorbeeld: als je chatdiensten als WhatsApp en Signal in een webbrowser wilt gebruiken kan dat zodra je een QR-code gescand hebt met de mobiele app op je telefoon.
Google heeft een eigen Authenticator-app, die tijdelijke codes kan genereren voor Dropbox, Evernote en talloze andere webdiensten. Authenticator is gekoppeld aan je Google-account en aan je telefoon (iOS en Android). De link met je telefoon wordt gelegd via een QR–code.
Apple ontwierp een methode waarbij het ene Apple-apparaat het andere kan verifiëren via je Apple ID, in combinatie met een viercijferige code. Je moet bij Apple nog wel één mobiel telefoonnummer via sms verifiëren. Wie deze methode gebruikt, hoeft geen persoonlijke vragen (favoriete kleur, merk van je eerste auto) meer te verzinnen voor de Apple-helpdesk. Zulke beveiligingsvragen kunnen makkelijk geraden worden en zijn geen veilige manier om je te identificeren.
Alles bij de bron; NRC