Gebruik je tweestapsverificatie? Ja? Heel goed! Genoeg mensen nog niet namelijk.

Een tijdje geleden vroeg ik aan grote bedrijven als Google, Microsoft en Facebook hoeveel procent van hun gebruikers 2fa heeft ingeschakeld. Mijn vermoeden: heel weinig.

De bedrijven willen niet zeggen hoeveel % van zijn gebruikers 2fa heeft ingeschakeld. PR-technisch gezien slim: dat percentage zal niet zo hoog zijn, en wie het laagste getal heeft komt er natuurlijk het slechtst uit.

Maar de groep die wél 2fa heeft ingeschakeld, en daarmee ook een stuk veiliger is, kan weer aan de bak: 2fa via sms is al jaren gedoemd te falen, en het eerste bewijs is er nu écht.

Duitse hackers

De eerste keer dat het SS7-systeem (het mobiele netwerk) werd gehackt om 2fa-codes buit te maken, was eind vorig jaar in Iran. Toen kregen hackers toegang tot de 2fa-sms’jes van twaalf Telegram-gebruikers. Misschien hoefden ze niet eens te hacken, en kregen ze de codes van de telco. In ieder geval: op die manier konden ze inloggen en onopgemerkt meelezen met de berichten.

Alleen: Iran is toch een beetje een ver-van-ons-bed-show. Maar toen de Süddeutsche Zeitung begin mei meldde dat Duitse hackers erin zijn geslaagd om de sms-codes voor bankoverschrijvingen te onderscheppen en misbruiken, is het duidelijk: 2fa via sms heeft zijn langste tijd gehad.

Wat nu?

SS7 in combinatie met sms is een kapot systeem dat we nooit moeten gebruiken voor zoiets belangrijks als 2fa-codes. Daarom moeten banken de optie gaan geven om lokaal op je apparaat overboekingen goed te keuren. Onder andere de ING doet dit al, door een overschrijving te voltooien door de app op te starten.

De meeste grote techdiensten bieden inmiddels 2fa via lokaal gegenereerde codes aan, meestal met een QR-code die je scant met een authenticator-app. Dat is een stuk veiliger omdat deze codes lokaal op je toestel worden gegenereerd.

Ook kun je ervoor kiezen om een Yubikey te gebruiken als 2fa. Dit apparaatje werkt echter alleen met Windows/OS X en Android (NFC), en niet met iOS.