Amerikaanse NIST: ‘Tweestapsverificatie met sms is verouderd’

Het Amerikaanse National Institute of Standards and Technology (NIST) adviseert aanbieders van tweestapsverificatie via sms over te stappen op een andere manier om de service aan te bieden. Dat blijkt uit een conceptdocument dat het instituut vandaag op zijn website gepubliceerd heeft. Omdat een sms onderschept of omgeleid kan worden, is deze extra controle niet veilig genoeg om het voorkomen van inbreuk in accounts te garanderen.

Tweestapsverificatie is een veiligere manier om als enige toegang te hebben tot je account. Een veelgebruikte manier om dit toe te passen is het ontvangen van een extra inlogcode die je eenmalig kunt gebruiken. Daardoor kan een hacker in theorie niet inloggen op jouw account, zelfs als hij in het bezit is van je gebruikersnaam en wachtwoord. Naast deze gegevens heb je namelijk een fysiek apparaat, zoals een smartphone, nodig. Je ontvangt dan een code via bijvoorbeeld sms, die je vervolgens kunt invoeren. Vaak heb je slechts enkele minuten de tijd om dat te doen.

Voor tweestapsverificatie is het echter noodzakelijk dat de code over een beveiligde verbinding wordt verstuurd. Anders zou een hacker deze kunnen onderscheppen. Op die manier kan hij ook zonder in het bezit te zijn van een bijvoorbeeld je smartphone inloggen. In Nederland maakt bijvoorbeeld de persoonlijke inlogomgeving van de overheid, DigiD, gebruik van tweestapsverificatie via sms.

De afgelopen tijd zijn veel diensten de tweestapsverificatie gaan ondersteunen, waaronder Instagram en wachtwoordmanager LastPass. De extra controle hoeft overigens niet altijd via sms te gebeuren, maar kan bijvoorbeeld ook via een andere berichtendienst, een app of een knop op je smartphone plaatsvinden. Vorige maand maakte Google bekend inloggen met tweestapsverificatie makkelijker te maken.