We schreven al eerder over 2-factor-authorization (ofwel 2-FA, dubbele authenticatie, tweestapsverificatie of 2-staps-verificatie). 2-FA is een extra beschermingslaag bij het inloggen van een site of dienst. Behalve je wachtwoord heb je nog extra informatie nodig om ergens in te kunnen loggen, veelal een 6-cijferige code. Die code krijg je via een beveiligings-app of via SMS. Veilig? Ja, een stuk veiliger dan alleen met een wachtwoord. Het lijkt er echter op dat het gebruik van beveiliging met SMS weer wat onveiliger is.
App of beveiliging met SMS?
Als ik ergens inlog met mijn DigiD doe ik dat eerst met mijn wachtwoord en vervolgens met een activeringscode die ik per sms ontvang. Log ik in op het beveiligde deel van de site van mijn huisarts, moet ik ook eerst mijn wachtwoord invullen en krijg daarna een SMS met een code. Bij Dropbox, mijn Google-account. WordPress of Dashlane doe ik dat met een app op mijn mobiele telefoon, die de code voor me gegenereerd. In mijn geval is dat Authy, maar je kunt ook Authenticator van Google gebruiken. Vanmorgen las ik dat die beveiliging via SMS’jes minder veilig is dan je denkt. De SMS’jes kunnen onderschept worden en zijn blijkbaar niet versleuteld.
Onveilige SMS
In het artikel bij TidBITS staan een aantal links naar artikelen over die (on)veiligheid van de SMSjes. Deze link gaat naar een artikelen daarover op TheVerge, waar ze beschrijven hoe een Coinbase-account werd overgenomen dankzij het onderscheppen van de 2-factor-authorization-SMS. Het artikel bij TidBITS gaat eigenlijk over de onveiligheid bij het inloggen bij Facebook middels die extra SMS. Je kunt het inloggen bij Facebook beveiligen met een extra SMS. Facebook heeft al veelal je mobiele nummer en het ligt voor de hand om dat dan maar te gebruiken voor je beveiliging. Nee, dus: een app is daarvoor veel verstandiger.
Authy
Bij Facebook heb je de mogelijkheid om daarvoor dan ook de Facebook-app zelf te gebruiken. Ook die kan een code genereren, die je na het invullen van je wachtwoord kan intoetsen. Ik heb de Facebook-app niet op mijn telefoon staan. Die app blijft zeuren dat ik ook Facebook-messenger moet installeren, vreet stroom en is net zo ingewikkeld als Facebook in je browser op je PC. Op mijn Android gebruik ik Tinfoil, een afgeslankte Facebook-lezer en poster. Bovendien heb ik het liefst alle codes die je nodig hebt voor de 2-staps-verificatie bij elkaar in één app. In mijn geval is dat Authy.
Tweestapsverificatie gebruiken
In het TidBITS-artikel leggen ze (voor de Engelse versie) uit hoe je Authy of Google’s Authenticator voor Facebook moet instellen. In de Nederlandse versie is dat dan: Instellingen > Beveiliging en aanmelding. Daar vind je dan Tweestapsverificatie gebruiken. Bij Codegenerator kun je dan een app van een derde instellen om codes te genereren. Je krijgt een QR-code op je scherm te zien die je met je mobiele beveiligings-app scant. Je voert als check een code in die de app genereert en klaar ben je. Ziezo, weer een zwakheid aangepast. Toch eens checken of het bij de DigiD veiliger is met de DigiD-app in plaats van met SMS. Maar daarover een volgende keer.
Meer weten over Facebook? Lees het boek PC Senior: Facebook voor senioren van Dirkjan van Ittersum. Over veiligheid in Facebook geeft van Ittersum ook lezenswaardige tips in DIT interview.
Hans Frederiks is journalist en fotograaf en hoofdredacteur van blog.computercreatief.nl. Hij schrijft over ontwikkelingen op het gebied van computers, van vormgeving op het web en print, en fotografeert al zijn hele leven lang. Zijn specialisaties zijn panorama’s, landschappen en podiumfotografie. Zijn blog vind je HIER, zijn boeken vind je HIER.