Microsoft: Kies iets beters dan tweestapsverificatie via sms
Microsoft roept op om waar mogelijk geen meerstapsverificatie via sms te gebruiken. Het systeem is wel nog altijd veiliger dan alleen een wachtwoord.
Alex Weinert, die aan het hoofd staat van Identity Security bij Microsoft, roept gebruikers in een blogpost op de bedrijfssite op om waar mogelijk geen tweestapsverificatie via sms te gebruiken. Die berichten kunnen namelijk worden onderschept.
Weinert pleit al langer voor meerstapsverificatie, waarbij je naast een wachtwoord bijvoorbeeld ook een hardwaresleutel, een app of sms nodig hebt om in te loggen. Volgens hem houdt het systeem meer dan 99% van de phishing- en inbraakpogingen op Microsoft-accounts tegen. Maar niet elke vorm van tweestapsverificatie is even veilig, zo schrijft hij.
Bij tweestapsverificatie waarbij je de extra sleutel via een sms’je of een ingesproken bericht krijgt, is er nog altijd een kleine kans dat het bericht onderschept wordt, omdat die berichten via publieke telefoonnetwerken worden verstuurd. De sleutels worden in niet-versleutelde tekst doorgestuurd, omdat het bijzonder moeilijk is om sms’jes te encrypteren. De tijdslimiet op sleutels die via zo’n bericht worden verstuurd, is bovendien langer, waardoor er meer tijd is om een inlogprocedure te kapen.
Wat moet je dan wel doen? Als je de keuze hebt, kies dan voor een fysieke beveiligingssleutel, zoals bijvoorbeeld de usb-sleutels van Yubico of Google, of opteer voor een app. Zo’n ‘authenticator’ app installeer je op je smartphone en link je aan accounts. Wie vervolgens in die account wil inloggen, heeft dan zowel het wachtwoord van de account nodig, als de code op je smartphone. Zowel Google als Microsoft bieden authenticator apps aan die makkelijk in gebruik zijn.
Voor alle duidelijkheid: meerstapsverificatie is altijd veiliger dan een systeem met alleen een wachtwoord, om de simpele reden dat er een extra stap nodig is om in een account te geraken. Tweestapsverificatie via sms is dus nog altijd een betere optie dan géén tweestapsverificatie. Maar als de mogelijkheid er is, kies je dus best voor een van de andere systemen.
Fout opgemerkt of meer nieuws? Meld het hier