Als het gaat om het beveiligen van je wachtwoorden en gevoelige gegevens, zijn niet alle twee-factor authenticatie (2FA) methoden gelijkwaardig. Veel diensten bieden nog steeds SMS-gebaseerde 2FA aan, maar beveiligingsbewuste platforms zoals Psono vermijden het volledig ten gunste van sterkere opties zoals WebAuthn, YubiKey en TOTP (Time-Based One-Time Passwords).
Dit is niet alleen een voorkeur—het is een noodzaak voor robuuste beveiliging. SMS-gebaseerde 2FA heeft significante kwetsbaarheden en echte aanvallen hebben bewezen dat het een gemakkelijk doelwit is voor hackers. In deze blogpost zullen we uiteenzetten waarom SMS 2FA zwak is en echte aanvallen die de tekortkomingen ervan illustreren belichten.
🔒 De Zwakheid van SMS-Gebaseerde 2FA
SMS-gebaseerde authenticatie is kwetsbaar voor meerdere aanvalsmethoden, waaronder:
- SIM Swapping – Aanvallers misleiden mobiele providers om het telefoonnummer van een slachtoffer over te zetten naar een nieuwe SIM, waardoor alle SMS-codes onderschept worden.
- SS7-aanvallen – Misbruik maken van kwetsbaarheden in het wereldwijde Signaling System No. 7 (SS7) protocol om SMS-berichten op afstand te onderscheppen.
- Phishing & Social Engineering – Gebruikers verleiden om SMS-gebaseerde codes vrij te geven via valse inlogpagina's.
Deze risico's maken SMS-gebaseerde 2FA tot een van de zwakste vormen van authenticatie.
🛡️ Waarom Psono Sterkere 2FA Gebruikt
Psono geeft prioriteit aan veiligheid en ondersteunt alleen robuuste 2FA methoden, waaronder:
- WebAuthn (FIDO2) – Maakt gebruik van publieke-sleutelcryptografie en biometrie of hardware beveiligingssleutels (bijv. YubiKey).
- YubiKey & Andere Veiligheidssleutels – Fysieke tokens die directe toegang vereisen om te authenticeren.
- TOTP (Google Authenticator, Authy, etc.) – Eenmalige wachtwoorden gegenereerd op een apparaat in plaats van verzonden via SMS.
Deze methoden zijn aanzienlijk veiliger omdat ze phishing-resistent zijn, niet afhankelijk zijn van mobiele providers, en risico op externe overname elimineren.
📢 Echte Aanvallen op SMS 2FA
Om te illustreren waarom Psono weigert om SMS-gebaseerde authenticatie te implementeren, zijn hier echte aanvallen die de zwakke punten ervan exploiteren:
1. China’s Doelwit van Amerikaanse Telecommunicatie (SS7 Exploits & Meer)
In februari 2024 gaven de FBI en CISA een gezamenlijke waarschuwing uit over door de staat gesponsorde Chinese hackers die commerciële telecommunicatienetwerken aanvallen. Deze aanvallen maakten misbruik van kwetsbaarheden in SS7—het protocol dat wordt gebruikt voor het routeren van SMS-berichten. De aanvallers waren in staat om authenticatieberichten te onderscheppen, wat aantoont hoe SMS 2FA op systemisch niveau kan worden gecompromitteerd.
2. Twitter (X) CEO Jack Dorsey's SIM Swap Aanval (2019)
In 2019 werd het account van de toenmalige Twitter-CEO, Jack Dorsey, gekaapt door een SIM swap-aanval. Hackers overtuigden zijn mobiele provider om zijn telefoonnummer over te zetten naar hun SIM-kaart, waardoor ze 2FA SMS-codes konden onderscheppen en controle over zijn Twitter-account kregen.
3. Coinbase SIM Swap Aanvallen (2021) – Duizenden Dollars Gestolen
In 2021 onthulde Coinbase dat meer dan 6.000 klanten geld verloren door een massale SIM swap-aanval. Hackers resetten de wachtwoorden van slachtoffers met onderschepte SMS-codes, kregen volledige controle over accounts en stalen cryptocurrencies.
4. Reddit’s Data Lek in 2018 – SMS 2FA Faalde
In 2018 leed Reddit een datalek waarbij hackers toegang kregen tot werknemersaccounts ondanks dat SMS-gebaseerde 2FA was ingeschakeld. Aanvallers gebruikte onderschepte SMS-codes om de authenticatie te omzeilen, waardoor gevoelige gebruikersgegevens werden blootgesteld.
🚀 De Toekomst van 2FA: Ga Verder dan SMS
Als je nog steeds SMS-gebaseerde 2FA gebruikt, is het tijd om over te schakelen naar een sterkere alternatieve methode zoals WebAuthn, YubiKey of TOTP-gebaseerde authenticatie. Psono’s inzet voor veiligheid betekent dat het niet zal comprimeren door SMS-gebaseerde authenticatie aan te bieden.
Wil je veilig blijven? Gebruik hardware beveiligingssleutels, TOTP-apps of biometrische authenticatie—vertrouw nooit alleen op SMS-gebaseerde authenticatie.
Beveilig je accounts op de juiste manier—gooi SMS 2FA overboord!
Veelgestelde Vragen Over Twee-Factor Authenticatie (2FA)
Wat is Twee-Factor Authenticatie (2FA) en waarom is het belangrijk?
Twee-Factor Authenticatie (2FA) is een extra beveiligingslaag die twee vormen van authenticatie vereist voordat toegang tot een account wordt verleend. In plaats van alleen een wachtwoord te gebruiken, heb je ook een tweede factor nodig, zoals:
- Een eenmalige code van een authenticatie-app (TOTP)
- Een hardware beveiligingssleutel (bijv. YubiKey, Titan Security Key)
- Biometrische authenticatie (vingerafdruk, gezichtsherkenning)
Het verkleint aanzienlijk het risico op ongeautoriseerde toegang, zelfs als een aanvaller je wachtwoord heeft.
Wat zijn de sterkste soorten 2FA?
De meest veilige tweede factoren zijn degenen die phishing-bestendig zijn en niet gemakkelijk onderschept kunnen worden. Deze omvatten:
- ✅ FIDO2/WebAuthn beveiligingssleutels (bijv. YubiKey, Titan Security Key)
- ✅ TOTP-gebaseerde authenticatie-apps (Google Authenticator, Authy, Aegis)
- ✅ Passkeys (wachtwoordloze authenticatie met biometrie of hardware beveiligingssleutels)
Zwakkere methoden (om te vermijden):
- ❌ SMS-gebaseerde 2FA – Gevoelig voor SIM swap-aanvallen en SS7-exploits
- ❌ E-mailgebaseerde 2FA – Kan worden gecompromitteerd als je e-mail gehackt is
Waarom wordt SMS-gebaseerde 2FA als onveilig beschouwd?
SMS-gebaseerde 2FA is kwetsbaar voor meerdere aanvalsmethoden, zoals:
- SIM Swap-aanvallen – Hackers misleiden je mobiele provider om je nummer naar hun SIM over te zetten, waardoor ze je 2FA-codes kunnen ontvangen.
- SS7-exploits – Aanvallers onderscheppen SMS-berichten door kwetsbaarheden in de telecominfrastructuur uit te buiten.
- Phishing-aanvallen – Valse websites verleiden gebruikers om hun SMS-codes in te voeren, waardoor aanvallers kunnen inloggen.
🔹 Betere alternatieven: Gebruik hardware beveiligingssleutels of TOTP-apps in plaats van SMS 2FA.
Wat gebeurt er als ik mijn tweede factor verlies (bijv. telefoon, YubiKey)?
Als je toegang tot je tweede factor verliest, kun je je account herstellen door:
- Back-upcodes gebruiken – Veel diensten verstrekken eenmalige back-upcodes bij het instellen van 2FA. Bewaar ze veilig.
- Een reserve-apparaat gebruiken – Sommige authenticatie-apps staan meerdere apparaten toe om TOTP-codes op te slaan.
- Contact opnemen met de ondersteuning – Sommige diensten bieden account herstel aan, maar dit kan traag zijn en vereist identiteitsbewijs.
- Een tweede hardware sleutel gebruiken – Als je service het ondersteunt, registreer meerdere beveiligingssleutels (primair + reserve).
🔹 Pro tip: Stel altijd meerdere authenticatiemethoden in voor het geval er een faalt.
Kunnen hackers 2FA omzeilen?
Hoewel 2FA de beveiliging aanzienlijk verbetert, kunnen sommige methoden worden omzeild met geavanceerde aanvallen:
🚨 Veelvoorkomende aanvalsmethoden:
- Phishing-aanvallen – Valse inlogpagina's verleiden gebruikers om zowel hun wachtwoord als 2FA-code in te voeren.
- Man-in-the-Middle (MitM) Aanvallen – Het onderscheppen van authenticatietokens via onveilige netwerken.
- SIM-swapping – Het omleiden van SMS-codes naar de telefoon van een aanvaller.
✅ Hoe het te voorkomen:
- Gebruik phishing-bestendige authenticatie (WebAuthn, passkeys, beveiligingssleutels).
- Schakel apparaatgebonden authenticatie in (zodat tokens niet op afstand kunnen worden hergebruikt).
- Wees voorzichtig met verdachte inlogpagina's – Controleer altijd URL’s voordat je inloggegevens invoert.
