Dankzij Twitter opeens weer veel aandacht voor MFA

Dit weekend trok Twitter de aandacht met de melding korte metten te maken met de bestaande MFA opties.  MFA via SMS wordt de laan uitgestuurd en in plaats daarvan kunnen sommige gebruikers overstappen naar de fysieke of digitale MFA generator. Kritiek op het besluit is begrijpelijk, maar er zijn genoeg betere alternatieven.

Twitter en Microsoft

De melding van Twitter volgde enkele dagen nadat Microsoft ook een bericht over MFA verspreidde. Dat kreeg minder aandacht, hoewel ook hier kritiek op de boodschap terecht is. Redmond gaat voor veel diensten verplicht stellen. Dat is goed nieuws, net als dat daarvoor de optie SMS te gebruiken komt te vervallen. SMS is namelijk inherent onveilig. Dat in de EU de sms voor bancaire diensten is verboden heeft een reden en daar komen andere partijen nu ook achter.

Uitstel

Microsoft is een van die partijen. Het slechte nieuws dat het bedrijf brengt is dat de uitfasering van de ene en het verplichte gebruik van de andere MFA opties is uitgesteld. Er worden dagelijks miljoenen computers en accounts gehackt en de makkelijkste methode dat lastiger te maken wordt nog drie maanden vooruitgeschoven.

Bot

Wat dat betreft is de botte melding van Twitter veel effectiever. Die leidde namelijk tot pittige discussies op dat platform, maar ook bij Reddit en andere online tech-omgevingen. Een deel van die discussies ging over de schijnbaar zoveelste poging van Twitter om in de kosten te snijden. Het versturen van een SMS met MFA code kost namelijk geld. Gelukkig ging de meeste belangstelling uit naar de vraag: en wat nu, wat zijn de oplossingen?

Hardware

Voor Twitter of Microsoft gebruikers zijn er twee manieren om veiliger, dus met MFA, te gaan werken. Er zijn hardware oplossingen en het is mogelijk een app te installeren die het gevraagde nummer genereert. Bij de hardware oplossingen is Yubikey de naam die het meest valt. De naamsbekendheid is hoog en de periodieke acties zijn redelijk bekend.

Digitale authenticators

Bij de digitale oplossingen ontbrandt onvermijdelijk een stammenoorlog. Er zijn fanboys voor de authenticator van Google, Microsoft en nog een handvol uitgevers. Ruim aanbod is goed, want door meer keuze kan de acceptatie worden vergroot. Voor de IT dienstverlener is het weer een mogelijkheid zijn meerwaarde aan te tonen door aan te geven wat de voor- en nadelen van elke van deze uitgevers is.

De Google authenticator is wellicht de meest bekende en meest gebruikte. Dat is iets anders dan de beste zijn. Deze authenticator is namelijk in een opzicht een risico. Zonder smartphone en backup codes is er niets meer mogelijk. Hoeveel gebruikers realiseren zich dat en maken die codes en weten nog waar ze die bewaard hebben?

Bij de Microsoft authenticator is er een ander probleem. Die verstuurt namelijk al jaren data, ook als de gebruiker die optie heeft uitgezet. Om meerdere redenen kan het een onacceptabel risico zijn het bedrijf uit Redmond op dat niveau inzicht te geven over devices en gebruikers (zie afbeelding).

En dan is er nog minstens een dozijn ander apps via de bekende online marktplaatsen te downloaden en installeren. Hier moet een extra waarschuwing bij geplaatst worden. Net als in het geval van Microsoft zitten hier authenticators tussen die datagraaien. In het ergste geval kan daarmee MITM infiltratie plaatsvinden.

Het is goed dat MFA voor ophef en aandacht , zoals dit weekend plaatsvond, zorgt. Het is een gelegenheid de klant uit te leggen waarom SMS geen serieuze optie is en dat het goed is een weloverwogen keuze te maken voor de fysieke of digitale authenticator.