De overstap van het eenmalige wachtwoord via sms naar push-authenticatie

Online beveiligingsexpert Entersekt maakt zich zorgen over de veiligheid van consumenten bij het doen van bankzaken. Aan het woord is senior vice-president Claudius van der Meulen, die aandringt op de overstap naar nieuwe vormen van authenticatie, onder andere voor het online regelen van bankzaken.

Van de meeste technologieën die in de jaren 80 ontwikkeld zijn hebben we inmiddels afscheid genomen. Denk bijvoorbeeld aan de walkman van Sony en de ooit zo geliefde videoband. Toch is er nog een stukje tech van toen te vinden in onze moderne wereld: het eenmalige wachtwoord via SMS. We gebruiken dit nog bijna dagelijks als identificatie- en authenticatiemethode. Hoewel deze methode in de jaren 80 zo goed als waterdicht was, is dat in de huidige tijd niet meer het geval.

ING, Facebook en DigiD

Herkenbare voorbeelden van het eenmalige wachtwoord per sms zijn de tan- en pac-codes van ING. De tan (Transactie Authorisatie Nummer)-code werd naar de mobiele telefoon van de gebruiker gestuurd wanneer iemand een transactie deed, om deze te autoriseren. De pac (Persoonlijke Authenticatie Code) werd hier in 2012 aan toegevoegd, om gebruikers beter te beschermen tegen online fraude. Ook bieden vele techgiganten tweestaps-authenticatie aan met sms en wie in wil loggen op websites van de overheid met de DigiD-code, kan tevens een sms met eenmalig wachtwoord verwachten.

De gevaren van eenmalige wachtwoorden via sms

We zien al langzaam maar zeker een shift van tweestaps-authenticatie via sms naar andere vormen van tweestaps-authenticatie. Zo kondigde ING eerder dit jaar aan te stoppen met de dertig jaar oude TAN-code en sinds afgelopen mei heeft ook Facebook een alternatief geboden voor tweestaps-authenticatie via sms.

Waarom is het zo belangrijk dat bedrijven – en dan met name banken – van deze sms-methode afstappen? De snelle ontwikkeling van de technologie gaat gepaard met een even snelle ontwikkeling van nieuwe vormen van criminaliteit. Hackers kunnen met de juiste middelen gemakkelijk de authenticatiecodes die per sms verstuurd worden onderscheppen via het mobiele netwerk of apps lezen de sms-inbox op de smartphone uit. Bovendien hoeft het wachtwoord niet eens opzettelijk in de verkeerde handen te vallen; nog regelmatig veranderen we van simkaart, en telefoonnummers worden gerecycled. Vergeet je dit door te geven aan een instantie? Dan komt de authenticatiecode bij de eerstvolgende inlogpoging naar je oude telefoonnummer, in andermans handen.

Investering met een risico

Met de risico’s zo duidelijk in beeld is het de vraag waarom sms-codes nog niet door alle banken uitgefaseerd worden. In een sector zo traditioneel en sterk gereguleerd als het bankwezen zijn grootschalige technologische veranderingen een flinke uitdaging. En dat is logisch, want banken kampen met een aantal risico’s.

Zo is het implementeren van een nieuwe beveiligingsmethode een enorme investering voor een bank en staat niet altijd garant voor rendement. Wanneer implementatie van een nieuwe technologie onverhoopt de klanten verstoort, door bijvoorbeeld vertraging bij transacties of beperkte toegang tot de bankgegevens, kan dit ten koste gaan van de klanttevredenheid. Bovendien is het de vraag of klanten openstaan om nieuwe technologieën te adopteren, zeker wanneer deze complex zijn. En bij het implementeren van een nieuwe technologische toepassing moet de bank op zoek naar de juiste partner; welke partij en oplossing past er bij de bank?

Concurreren in een ontwrichte betaalmarkt

Ondanks deze bezwaren loont het toch om over te stappen naar een nieuwe beveiligingsmethode. De wereld gaat vooruit, en banken moeten mee: nieuwe regelgeving zoals PSD2 in Europa vraagt om verandering, net als de klanten. De concurrentie is bovendien heviger dan ooit, met fintechs die de betaalmarkt betreden en ontwrichten door een nieuw niveau van veiligheid en gebruikersgemak te introduceren. Hoewel beveiliging met een eenmalig wachtwoord via sms al stukken beter is dan uitsluitend een wachtwoord, laat de gebruikerservaring te wensen over en is de veiligheid ervan nog steeds verre van optimaal.

Gedegen alternatief

Dus hoe kunnen banken en fintechs concurreren? Push-technologie lijkt een goede alternatieve beveiligingsmethode voor transacties. IT-dienstverlener Gartner verwacht dat push-technologie binnen twee jaar tijd de authenticatiemarkt zal domineren. En dat is niet geheel verwonderlijk. Deze nieuwe technologie vereist namelijk niet dat de gebruiker wisselt tussen mobiel bankieren apps, nummers kopieert of onthoudt, of wacht tot er een bericht binnenkomt. Bij push-authenticatie vindt de communicatie tussen de bank en de gebruiker plaats via een geïsoleerd, versleuteld kanaal dat niet gevoelig is voor dezelfde aanvallen van buitenaf als wachtwoorden en eenmalige wachtwoorden via sms.

Push-authenticatie biedt bovendien de mogelijkheid tot encryptie op het mobiele apparaat die losstaat van de simkaart en toestelbeveiliging. Met andere woorden; push-authenticatie verandert op deze manier de smartphone in een tweede authenticatiefactor (die van bezit), zoals voorgeschreven door onder andere de PSD2. Consumenten kunnen zich dan zorgeloos identificeren via de smartphone, zonder bang te zijn voor fraudeurs van buitenaf. Genoeg reden dus om van eenmalige wachtwoorden via SMS af te stappen.