Tweestapsverificatie is een van de meest effectieve manieren om logins te beveiligen, maar wat is beter, SMS of een app?
Ons hele bestaan migreert langzaam naar de digitale wereld en daarmee ook onze belangrijke persoonlijke informatie. Naast DigiD en je bankgegevens zijn er natuurlijk nog veel andere apps en accounts die je moet managen. En steeds meer van die minder belangrijke applicaties vereisen tweestapsbeveiliging. Wat is bij deze tweestapsverificatie dan de beste optie, een toegewijde app of een SMS?
Tweestapsverificatie: App vs. SMS
Met tweestapsverificatie probeert een website of programma te controleren of de gebruiker daadwerkelijk de gebruiker is. Naast een correcte inlognaam en wachtwoord moet je voor deze extra vorm van beveiliging vaak ook nog ergens anders op bevestigen klikken. Dat kan via een mailtje, een code in een SMS of zelfs een toegewijde app, wederom met eigen inloggegevens.
Er zijn dus al behoorlijk wat smaken te verkrijgen in de ijssalon die tweestapsverificatie heet. Welke is het beste? Volgens beveiligingsexpert Alex Weinert, een werknemer van Microsoft, is dat ontzettend duidelijk: Een app! Sterker nog, hij schijft in een blogpost dat SMS-verificatie helemaal niet veilig is.
Volgens Weinert is tweestapsverificatie via SMS onveilig, omdat het afhankelijk is van openbare telefoonnetwerk. Die zijn niet (goed) versleuteld en kunnen gemakkelijk door bad guys gelezen worden. Ook noemt hij SIM-swapping, een geniepig trucje waarmee hackers iemands telefoonnummer helemaal over kunnen nemen.
Kortom, naast een zo goed mogelijk wachtwoord (waar Weinert overigens ook op tegen is) wil je het liefst een app om te verifiëren dat jij het bent. Het voelt misschien soms een beetje onhandig, zo’n DigiD app of randomreader (wat in principe een app op een aparte ‘smartphone’ is).
Lees ook: Google Authenticator krijgt na jaren nodige feature update
