Verschillende Duitse banken gaan vanwege veiligheidsredenen stoppen met het gebruik van sms-codes voor internetbankieren of hebben het al uitgefaseerd. Klanten moeten straks met een TAN-generator, app of QR-code werken, zo meldt het Duitse Handelsblatt.
Er zijn verschillende incidenten bekend waarbij cybercriminelen via het SS7-protocol sms-codes hebben onderschept om bankfraude mee te plegen. SS7 is een protocol dat de meeste telecombedrijven gebruiken om onderling met elkaar te communiceren. Het wordt onder andere gebruikt voor bellen vanuit en naar het buitenland, sms en roaming. Ook via malware en het aanvragen van nieuwe simkaarten in naam van het slachtoffer, het zogeheten sim-swapping, is het mogelijk om toegang tot codes van de gebruiker te krijgen.
Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, adviseert al jaren om mobiele TAN-codes niet te gebruiken en in plaats daarvan met TAN-generatoren te werken. De Duitse verzekeringsmaatschappij R+V waarschuwde onlangs ook voor fraude waarbij mobiele TAN-codes worden gebruikt.
Een aantal Volksbanken en Raiffeisenbanken willen binnenkort met sms-codes stoppen of hebben dit al gedaan. De Berliner Sparkasse zal de mobiele TAN-code eind oktober uitfaseren, terwijl de Postbank dit op 11 augustus doet. Ook de Consorsbank heeft het einde van de sms-code aangekondigd. ING in Duitsland blijft de methode gewoon nog gebruiken.
Klanten zonder smartphone zullen straks een TAN-generator moeten aanschaffen. Wie wel over een smartphone beschikt kan de app van zijn of haar bank gebruiken.
2fa
2fa, two factor authentication of tweestapsverificatie. Het lijkt zo logisch, maar velen passen het niet toe. E-mails komen te langzaam door, je moet er extra applicaties voor op je telefoon installeren, je moet codes backuppen.
Iedereen weet, of zou moeten weten, dat alleen een gebruikersnaam en wachtwoord niet veilig zijn. En iedereen weet ook, of zou moeten weten, dat je in ieder geval overal een ander wachtwoord moet gebruiken. Dat is in ieder geval iets veiliger.
Voor de meeste mensen is een tweestapsverificatie via sms of e-mail al beter dan niets en je zou zelfs kunnen beargumenteren dat het wel een beetje van de dienst afhangt of je meer nodig hebt. Sms'jes kunnen onderschept worden, maar dat vraagt wel om meer werk van hackers, dus kunnen we stellen dat in de meeste gevallen iets beter is dan niets.
Bij meer gevoelige zaken, zoals een e-mailaccount, ligt dat vermoedelijk anders en dan is een tweestapsverificatie met een speciale app verstandiger, zoals Authy, Google Authenticator of Laspass Authenticator. Het grote nadeel is echter dat als je telefoon stuk gaat of je verliest hem of hij wordt gestolen, dat je dan al je codes kwijt bent en backups nodig hebt. Die backupcode krijg je over het algemeen gepresenteerd bij het voor het eerst aanmaken van de authenticatorcode. Die moet je dan opschrijven of printen (vaak een qr-code) en vervolgens op een veilige plaats opbergen.
Uiteraard kun je ook kiezen voor een security key, zoals een Yubikey. Die moet je ook niet kwijtraken natuurlijk, maar niet alle diensten ondersteunen dat.
Een ding is zeker 2fa is een must anno 2019.
Bron: handelsblatt, security, channelweb
Reactie plaatsen
Reacties