Deze website maakt gebruik van cookies. Voor meer informatie over de cookies waarvan deze website gebruik maakt klik hier.
Door verder op deze website te surfen geeft u de toestemming aan Minoc Data Services om cookies te gebruiken. verder gaan
 
verificatieapps

Datalek in sms-database benadrukt belang van verificatieapps

Bram Lodewijks

 
Een datalek in een sms-database heeft ongeveer 26 miljoen berichten openbaar gesteld met consumentengegevens. Hier wordt duidelijk dat verificatieapps vaak een veiligere optie zijn.

 

Tweetrapsauthenticatie is een extra beveiligingsmaatregel die in feite elke website zou moeten ondersteunen. Op deze manier is het niet voldoende om even snel in te loggen, maar moet je nog een tweede keer je identiteit bevestigen via bijvoorbeeld een e-mail, sms of applicatie. Een recent datalek bij een sms-server van het Amerikaanse communicatiebedrijf Vovox heeft echter aangetoond dat niet elke vorm van tweetrapsauthenticatie even veilig is en dat verificatieapps toch een stapje voor hebben in vergelijking met sms’en.

 

Hoe het datalek in de sms-server tot stand is gekomen, is niet meteen duidelijk. Het werd alleszins aan het licht gebracht door de Berlijnse beveiligingsonderzoeker Sébastien Kaul. Hij ontdekte dat de sms-database van Vovox toegankelijk was voor iedereen en iedereen naar hartenlust op zoek kon gaan naar zowel namen als telefoonnummers. Van Voxox heb je echter waarschijnlijk nog niet gehoord, maar deze database bevatte sms-berichten voor tweetrapsauthenticatie van o.a. Google, Amazon en Microsoft. Een oplettende hacker had dus op deze manier makkelijk toegang tot gebruikersaccounts op deze platformen, aangezien hij de sms-code gewoonweg kon aflezen in deze database.

 

Het voordeel van verificatieapps

Je vraagt je nu misschien af waarom verificatieapps veiliger zijn dan sms’en. Wel, ten eerste maakt het voorbeeld van hierboven duidelijk dat verificatie-sms’en en de bijbehorende consumentengegevens zich in een online database bevinden, dus hoe je het ook draait of keert, de cloud kan je niet vermijden. Het voordeel van verificatieapps zoals Google Authenticator of 1Password is dat de apps op zichzelf werken en dat er geen gevoelige data naar de apps gestuurd wordt. Hierbij hoort een tweede voordeel, namelijk dat de apps functioneren zonder actieve telefoonverbinding.

 

De veiligste optie blijft echter de hardwaresleutel die je fysiek moet aansluiten op je computer als vorm van tweetrapsauthenticatie. Google heeft bijvoorbeeld het gebruik van die sleutels verplicht bij zijn medewerkers en heeft tot op heden nog geen succesvolle phishingaanval meegemaakt. Een sms is in sommige gevallen nog nodig als vorm van tweetrapsauthenticatie, maar probeer dit weliswaar steeds te zien als een soort van laatste redmiddel om jezelf veilig te stellen van een datalek zoals dat bij Vovox.


Dit artikel verscheen oorspronkelijk op techpulse.be
 

Reacties

comments powered by Disqus
 

RECENT NIEUWS