Volledig scherm
© afp

'Tweestapsverificatie via sms heeft langste tijd gehad'

Facebook doet het, Twitter doet het en ook PayPal en DigiD bieden het aan: een manier om je account extra te beveiligen door, naast in te loggen met alleen je gebruikersnaam en wachtwoord, ook een toegangscode via sms te ontvangen. Een verouderd en zelfs onveilig idee, stelt het Amerikaanse National Institute of Standards and Technology (NIST), dat overheden gaat adviseren hun tijd en geld in andere vormen van beveiliging te stoppen.

Quote

Twee­staps­ve­ri­fi­ca­tie via sms is over en uit als het gaat om bijvoorbeeld gevoelige zaken als het doen van je be­las­ting­aan­gif­te

Brenno de Winter

NIST publiceerde zijn concept-richtlijnen deze week. Het instituut geeft aan hoe ontwikkelaars veilige software kunnen maken en hoe overheden de veiligheid van producten kunnen inschatten. Over de tweetrapsauthenticatie door middel van sms is NIST opvallend duidelijk. Die manier van extra beveiliging bij het inloggen is verouderd.

Sms-berichten kunnen worden onderschept of omgeleid. Het instituut stelt dan ook voor verificatie via sms niet meer toe te staan in toekomstige richtlijnen. Ontwikkelaars en overheden kunnen beter op zoek gaan naar en investeren in andere, betere manieren van beveiliging.

Opvallend

Volgens Sander van Voorst van Tweakers is het feit dat tweestapsverificatie via sms onveilig is niet zozeer het nieuws - 'dat was al langer bekend' - maar 'dat het nu door een instituut wordt opgenomen in richtlijnen aan overheden en andere organisaties is wel opvallend'.

Dat vindt ook Brenno de Winter. ,,Het geeft te denken. NIST zegt eigenlijk: 'Dit heeft zijn langste tijd gehad'", aldus de onderzoeksjournalist die veel schrijft over IT-beveiliging en privacy. ,,In Amerika is men op dat gebied verder dan in Nederland. Daar durft de overheid duidelijk een standpunt over in te nemen en zwakheden te benoemen."

Nederland

In Nederland geldt een dergelijke richtlijn niet. Woordvoerders van de Autoriteit Persoonsgegevens en het ministerie van Veiligheid en Justitie melden dat de verantwoordelijkheid voor het aanbieden van een veilige verificatie ligt bij de organisatie die de persoonsgegevens verwerkt en de dienst aanbiedt.

,,Daar moet een risicoafweging in worden gemaakt, over wat voor soort persoonsgegevens het gaat, wat de stand is van de huidige techniek. In sommige contexten zal inloggen via sms minder geschikt zijn, bijvoorbeeld als je ook wilt inloggen via je mobiele telefoon. Maar sowieso is de tweestapsverificatie via sms veiliger dan als je het niet doet", zegt een woordvoerster van de autoriteit.

Duidelijkheid

De Winter gruwelt van dergelijke terminologieën. ,,Bijvoorbeeld 'conform de stand van de techniek'. De Nederlandse overheid kleurt dat begrip niet in. Het kan een volgende dag dus weer anders zijn. Wees toch eens duidelijk. Een overheid die digitaal moet zijn, moet keuzes durven maken. Mij is het duidelijk: tweestapsverificatie via sms is over en uit als het gaat om bijvoorbeeld gevoelige zaken als het doen van je belastingaangifte."