FBI waarschuwt voor omzeilen tweestapsverificatie
De FBI roept haar partners op dat multi factor authentication, inloggen met behulp van een extra code of sms, ook kan omzeild worden. Al blijft het wel de veiligste optie.
Multi factor authentication (MFA) is wanneer je ergens inlogt en naast een wachtwoord ook een sms- of een speciale usb-sleutel moet gebruiken om toegang te krijgen. Zo voorkomt een dienst dat iemand die je wachtwoord weet te stelen kan inloggen.
Hoewel MFA (of 2FA, two-factor authentication, met twee verificatiestappen) nog steeds aan te raden is, waarschuwt de FBI nu naar partners dat de veiligheidsmaatregel alsnog kan omzeild worden. Het doet dat in een nota naar partners van de organisatie die ZDNet.com kon inkijken.
De Amerikaanse overheidsorganisatie haalt een aantal voorbeelden aan tussen 2016 en vandaag. Het vaakst gaat het om incidenten met sim swapping. Dat is wanneer iemand je telefoonnummer kan overnemen en zo dus ook de codes toekrijgt die een webdienst naar je telefoon stuurt om toegang te geven. Sim swapping is in Europa niet zo’n vaak voorkomend probleem als in de VS. Vaak gebeurt het via de klantendienst, waar een oplichter de operator kan overtuigen dat hij jou is en je een nieuwe simkaart met jouw nummer opstuurt.
Andere methodes om MFA te omzeilen gebeuren via kwetsbaarheden in websites waardoor extra of tijdelijke inlogcodes in real time worden onderschept.
Hoe groot het probleem precies is, is niet bekend. Vorige week liet Microsoft nog verstaan dat het aantal incidenten waarbij MFA werd omzeild enorm klein is en dat de veiligheidsmaatregel 99 procent van alle pogingen om iemands account over te nemen tegenhoudt. Ook de FBI benadrukt dat het MFA niet wil aanvallen. Het blijft een aan te raden maatregel om je online accounts te beveiligen. Maar het wil wel waarschuwen dat de techniek niet onfeilbaar is.
Fout opgemerkt of meer nieuws? Meld het hier