Laatste nieuws
 
 
  Achtergrondartikelen  
 

De geestelijke vader van het sms’je, Neil Papworth, kon in 1992 nooit bevroeden dat zijn boodschap “Merry Christmas” zou uitgroeien tot een wijdverbreid communicatiemiddel. Hij stuurde dit berichtje vanaf zijn computer naar de mobiele telefoon van Richard Jarvis, directeur van Vodafone, en de rest is geschiedenis. Anno 2017 winnen Wechat en Telegram aan populariteit ten koste van de sms. Toch blijkt volgens Telecompaper dat nog steeds 74% van de Nederlanders regelmatig gebruik maakt van het vertrouwde smsje. Vooral zakelijk wordt de sms ingezet, als verificatie- of authenticatiemiddel.

Banken en betaaldienstverleners verifiëren soms via sms de identiteit van een persoon die een overschrijving of betaling wil uitvoeren. Ze sturen een sms met een eenmalig wachtwoord naar de mobiele telefoon van die persoon, en die voert het eenmalige wachtwoord dan in de applicatie van de bank of betaaldienstverlener in. Echter, PSD2, de Europese betaalrichtlijn voor banken en andere financiële dienstverlening, gaat volgend jaar van kracht, en deze richtlijn legt restricties op voor de sms als authenticatiemiddel.

Betekent PSD2 het einde van sms-authenticatie?
De vraag of sms-authenticatie acceptabel zal blijven, beantwoord ik aan de hand van drie scenario's. Ook bekijk ik welke van deze scenario's voldoen aan de eisen van de Europese richtlijn PSD2.

Scenario 1: two-device authentication (2da)
In dit geval heeft de gebruiker twee onafhankelijke apparaten: een toestel voor toegang tot de website of de applicatie van een bank, en een ander toestel voor de authenticatie van de persoon of een betaling. Het eerste apparaat, dat we het bankapparaat noemen, is meestal een desktop-pc, laptop of een mobiel toestel (zoals telefoon of tablet) waarop een app voor mobiel bankieren draait. Het tweede toestel, het authenticatietoestel, is een mobiel apparaat dat de sms ontvangt. We gaan ervan uit dat de gebruiker zich op de website of app van de bank authenticeert met behulp van het eenmalige wachtwoord in de sms, in combinatie met een statisch wachtwoord of een pincode.

Deze oplossing voldoet aan de vereisten als het wordt gebruikt voor het aanmelden bij de website of app van de bank. De oplossing kan voldoende zijn voor het ondertekenen van een transactie, maar enkel als aan de twee volgende voorwaarden voldaan wordt. Ten eerste moet de sms de transactiegegevens (bijvoorbeeld het bedrag en begunstigde) bevatten. Ten tweede moet de inhoud van de sms tijdens het versturen en de ontvangst door het mobiele apparaat beschermd zijn tegen wijzigingen. Aan deze laatste eis wordt door sms-berichten niet makkelijk voldaan, omdat ze meestal niet beschermd zijn.

Vandaar dat in het algemeen sms-authenticatie wel gebruikt kan worden om in te loggen, maar niet om te ondertekenen.

Scenario 2: two-app authentication (2aa)
In dit scenario gaat het om slechts één toestel, waarop twee verschillende apps draaien. Deze apps communiceren met elkaar via zogenaamde app-to-app-communicatie. We verwijzen naar deze apps als respectievelijk de bank-app en de authenticatie-app. De authenticatie-app verzoekt en ontvangt de sms-berichten.

Standaard sms-authenticatie is niet voldoende om twee redenen. Ten eerste kan de sms in transit opgevangen en gewijzigd worden. Ten tweede kan de sms op het mobiele apparaat onderschept worden door malware. Dat betekent dat niet wordt voldaan aan de vereiste van PSD2, namelijk dat er twee verschillende kanalen moeten worden gebruikt.
De oplossing wordt aanvaardbaar indien de inhoud van de sms beschermd wordt door een end-to-end beveiligd kanaal dat eindigt in de authenticatie-app, zodat alleen de app zelf het sms-bericht kan decoderen. Dit is echter niet de standaardbenadering.

Scenario 3: one-app authenticatie (1aa)
In dit geval gebruikt de gebruiker niet alleen slechts één apparaat, maar ook slechts één applicatie om transacties te initiëren en te verifiëren. De gebruiker gebruikt dus geen aparte authenticatie-app of toestel. Dit scenario is dan ook niet in overeenstemming met de PSD2-eisen, omdat het niet via twee kanalen verloopt. Het gebruik van sms verandert hieraan niets.

Conclusie
We wachten nog steeds op de definitieve eisen voor sterke authenticatie volgens PSD2. Maar als er hierover niets verandert in het huidige voorstel, is het duidelijk dat sms-authenticatie niet aan de voorwaarden zal voldoen, in het bijzonder wat de eisen voor het goedkeuren van betalingen betreft.

De kaarsjes zijn uitgeblazen, de slingers zijn opgeborgen en de toekomst zal uitwijzen of sms als authenticatiemiddel nog een lang leven beschoren is.

Door Frederik Mennes,
Market & Security Strategy Manager 
VASCO Data Security

Plaats op:
Datum: 21 december 2017
Categorie: Blog
Gerelateerde artikelen  
17-03-2016 Nieuws Digipass 770 beveiligt tegen hackers
20-01-2016 Nieuws ICT tackelt beveiligingsuitdaging met two-factor authenticatie
02-12-2016 Nieuws Tools4ever voegt Time-based One-time Password toe aan HelloID
19-01-2016 Nieuws ICT-afdeling wil beveiligingsuitdaging tackelen
01-06-2017 Nieuws MobileIron en Dropbox zorgen voor veilige samenwerking aan documenten
 
 

- partners -

 
 
 
 
 
� 2007 - 2018 Vakwereld. All rights reserved Pagina geladen in 0,16 seconden.