Veel websites en apps geven je de optie om sms-codes te gebruiken waarmee je kunt inloggen. Maar echt veilig is dat niet …
Lees verder na de advertentie.
Gebruik je sms-codes om in te loggen? Dat móét je echt niet doen
Je Digitale veiligheid wordt steeds belangrijker en kwaadwillenden krijgen steeds meer handigheid in het ontfutselen van je persoonlijke data. Om hier enig tegengas aan te geven is onder andere tweestapsverificatie (2FA) in het leven geroepen.
Hierbij moet je (naast je gebruikersnaam en wachtwoord) nog een tweede stap uitvoeren om toegang te krijgen tot je account. Dat kan een code zijn (via een app), een speciale usb-stick of een sms. Maar als jij nog steeds sms-codes gebruikt om in te loggen, moet je dat nu toch écht een keer aanpassen.
Dit is waarom sms-codes onveilig zijn
Tweestapsverificatie met sms werkt best handig, want je krijgt direct een code op je telefoon en kunt inloggen. Maar sms is niet ontworpen met veiligheid in het achterhoofd. Dit zijn de belangrijkste veiligheidsrisico’s bij sms-codes:
Sms heeft geen beveiliging: hackers kunnen de berichten die gebruikt worden voor het inloggen via sms-codes onderscheppen met eenvoudige trucs zoals spoofing en phishing. De berichten zijn niet versleuteld en worden als tekst verzonden. Hierdoor zijn ze ook nog eens gemakkelijk te lezen.
Sim-swapping: criminelen kunnen je telecomprovider misleiden om jouw telefoonnummer over te zetten naar hun simkaart. Zo ontvangen ze jouw sms-codes op hun smartphone en kunnen ze inloggen op jouw accounts.
Wat kun je beter gebruiken dan sms-codes?
In plaats van het inloggen met sms-codes zijn er meerdere alternatieven die veiliger zijn.
- Authenticator-apps zoals Google Authenticator of Microsoft Authenticator. De apps vind je in de App Store. Deze genereren lokaal op je toestel een code die elke 30 seconden verandert en moet invullen als je inlogt. Je hebt hiervoor geen internet of netwerkverbinding nodig;
- Beveiligingssleutels (zoals YubiKey) hebben de hoogste vorm van bescherming en zijn praktisch onmogelijk om op afstand te hacken. Het nadeel is wel dat je daar dus een speciaal apparaatje voor moet kopen;
- Passkeys: dit is een nieuwe, veilige manier om in te loggen zonder wachtwoorden. In plaats van een wachtwoord gebruik je een digitale sleutel die op je apparaat wordt opgeslagen. Je bevestigt je identiteit dan met gezichtsherkenning (zoals Face ID), een vingerafdruk of een pincode. Bedrijven als Apple, Google en Microsoft ondersteunen passkeys al, maar veel sites nog niet.
Wil je meer tips? Of op de hoogte gehouden worden van al het nieuws rondom Apple, iPhone en meer? Abonneer je dan op onze nieuwsbrief en download de app!
