Sms-beskeder med en engangskode er udbredt til to-faktor-autentifikation, hvor man vil undgå, at blot brugernavn og adgangskode er nok til at få adgang til eksempelvis en e-mailkonto.
Men sms-beskeder er ikke tilstrækkeligt sikre, lyder det nu fra den amerikanske myndighed National Institute of Standards and Technology, NIST. Det skriver Techcrunch.
I et udkast til nye retningslinjer for autentifikationsløsninger fraråder NIST at bruge engangskoder leveret med sms-beskeder. Problemet med sms-beskeden er, at der ikke er yderligere kryptering, end den der findes på mobilnetværket.
Da det er muligt at sætte et mobilnummer til at pege på et IP-telefonisystem, så er det også på den måde muligt at opsnappe koden, hvis systemet er kompromitteret.
Derfor vil NIST anbefale, at man kun sender sms-koder, hvis det er muligt at bekræfte, at telefonnummeret er tilknyttet en mobiltelefon på et mobilnetværk.
To-faktor-autentifikation er beregnet til at øge sikkerheden. Hvis man blot benytter et brugernavn og adgangskode, så er det muligt at overtage identiteten på brugeren, hvis man på én eller anden måde lærer kodeordet at kende.
Derfor er den mest brugte form for to-faktorautentifikation, at man også skal være i besiddelse af en fysisk genstand. Det kan være et papkort som til NemID, en hardware-nøglegenerator eller altså en mobiltelefon.
To-faktor-autentifikation med sms-beskeder øger sikkerheden betydeligt for løsninger som eksempelvis login til Google, Microsoft, Facebook eller Twitter, men den er altså ifølge vurderingen fra NIST ikke skudsikker.
I stedet bør man udvikle løsninger som også kendes fra eksempelvis Facebooks kodegenerator, hvor en allerede kryptografisk verificeret applikation kan kommunikere via en krypteret forbindelse og få en sikker engangskode, lyder det fra NIST.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.