Microsoft roept gebruikers op af te stappen van telefoonberichten voor tweestapsverificatie. Het gaat dan specifiek om sms en voiceberichten. Die zijn volgens het bedrijf kwetsbaar voor onderschepping. Microsoft raadt authenticatieapps aan als alternatief.

De waarschuwing staat in een blogpost van Alex Weinert. Die schreef eerder al een veelbesproken blogpost over de toekomst van wachtwoorden, waarin hij zei dat multi factor authentication meer dan 99 procent van alle phishing- en inbraakpogingen op Microsoft-accounts tegenhoudt. Weinert pleit er nu voor af te stappen van sms en 'voice' als tweestapsverificatiemethodes. "Deze mechanismes zijn gebaseerd op publicly switched telephone networks of pstn's en ik denk dat dat de onveiligste 2fa-methodes van dit moment zijn", schrijft hij in de blogpost.

Weinert schrijft dat iedere mogelijke methode om credentials te stelen op deze PSTN's, kunnen worden toegepast. Dat kan bijvoorbeeld via phishing, social engineering, accountovernames en diefstal van een toestel.

Bij sms en telefoonberichten worden de one-time passwords verzonden in plaintext. Dat kan volgens Weinert ook niet zomaar veranderen, want encryptie zou onpraktisch toe te passen zijn op bijvoorbeeld sms-berichten. Ook zouden sms-credentials tijdloos zijn, waardoor er meer tijd is om ze te achterhalen, in tegenstelling tot authenticatieapps waarbij een code meestal maar dertig seconden geldig is.

Weinert schrijft in de blogpost overigens niet hoe groot de problemen zijn rondom 2fa via sms. Het is dus niet bekend in hoeveel gevallen dat bij Microsoft-accounts bijvoorbeeld is omzeild en op welke manieren dat dan gebeurde. Volgens Weinert is het onvermijdelijk dat tweestapsverificatie uiteindelijk overal wordt ingezet, maar dat Microsoft denkt dat authenticatieapps daar beter geschikt voor zijn. Hij raadt zelf de Microsoft Authenticator aan, maar gebruikers kunnen iedere soort authenticatieapp gebruiken op verschillende diensten.