Daarom wil Twitter geen MFA via SMS meer

Twitter heeft recentelijk dan toch echt aangekondigd dat het niet langer Multi Factor Authenticatie (MFA) via SMS zal ondersteunen. Dit heeft veel mensen toch nog verrast en sommigen vragen zich af waarom Twitter deze beslissing heeft genomen. In dit artikel zullen we de redenen bespreken waarom Twitter geen MFA via SMS meer wil en waarom gebruikers alternatieve MFA methoden moeten overwegen.

Ten eerste is het belangrijk op te merken dat SMS niet de meest veilige manier is om MFA uit te voeren. SMS-berichten kunnen worden onderschept en gekaapt, en sommige aanvallers kunnen de mobiele telefoon van een gebruiker hacken om toegang te krijgen tot hun SMS-berichten. Dit betekent dat als een hacker toegang heeft tot het mobiele nummer van een gebruiker, hij of zij MFA via SMS kan omzeilen en toegang kan krijgen tot de account van de gebruiker.

SMS bericht is niet versleuteld

Daarnaast zijn er ook veel privacyzorgen rond SMS. SMS-berichten zijn niet versleuteld, wat betekent dat de inhoud van een bericht kan worden gelezen door iedereen die toegang heeft tot de netwerkinfrastructuur van een mobiele provider. Dit betekent dat als een gebruiker MFA via SMS gebruikt, er een risico bestaat dat iemand anders toegang krijgt tot hun verificatiecode en zo toegang krijgt tot hun account. Het heeft dus een reden dat SMS voor bancaire diensten in de Europese Unie verboden is.

Alternatieve en sterke MFA

Bovendien is het belangrijk op te merken dat er alternatieve MFA-methoden beschikbaar zijn die veiliger zijn dan SMS. Bijvoorbeelden zijn authenticator apps zoals Google Authenticator, Microsoft Authenticator en Authy die verificatiecodes genereren die uniek zijn voor elke gebruiker en elke aanmeldingssessie. Dit betekent dat zelfs als een hacker toegang heeft tot de gebruikersnaam en het wachtwoord van een gebruiker, ze geen toegang kunnen krijgen tot hun account zonder de verificatiecode.

De Google authenticator is op dit moment de meest bekende en ook meest gebruikte. Maar dat is iets anders dan de beste zijn. Deze authenticator is namelijk een risico: zonder smartphone en backup codes kun je niets meer. Hoeveel gebruikers realiseren zich dat en weten dan nog waar ze die codes bewaard hebben?

Bij de Microsoft authenticator is er weer een ander probleem. Deze app verstuurt namelijk al jaren data, ook als de gebruiker die optie heeft uitgezet. Om meerdere redenen kan het een onacceptabel risico zijn om het Amerikaanse Microsoft op dat niveau inzicht te geven over devices en gebruikers.

YubiKey

Voor Twitter, Google of Microsoft gebruikers is er wat ons betreft maar 1 manier om veiliger, dus met MFA, te gaan werken. De hardwarematige oplossing van Yubico: de YubiKey is de enige weloverwogen keuze in situaties waar SMS geen serieuze optie is en een digitale authenticator andere risico’s met zich meedraagt.

Twitter is niet de enige

Ten slotte is het belangrijk op te merken dat Twitter niet de enige is die MFA via SMS niet meer ondersteunt. Veel bedrijven en organisaties zijn overgestapt op alternatieve MFA-methoden omdat ze veiliger zijn en minder kwetsbaar voor aanvallen. Als gebruikers veilig willen blijven en hun online accounts willen beschermen, is het belangrijk om nu te overwegen alternatieve MFA-methoden te gebruiken.

In conclusie, Twitter stopt met het ondersteunen van MFA via SMS vanwege veiligheids- en privacyzorgen. Gebruikers moeten alternatieve MFA-methoden overwegen, zoals de YubiKey van Yubico, om hun accounts veiliger te maken en het risico op aanvallen te verminderen.