HM_Banner_Superbanner_728x90_2



PSD2: is dit het einde van sms-authenticatie?

  1. 17 feb 2017
  2. 0 reacties

1396955_49065589

Banken en betalingsdienstverleners verifiëren soms via sms de identiteit van een persoon die een overschrijving of betaling wenst uit te voeren. Ze sturen een sms-bericht met een eenmalig wachtwoord (een zogeheten OTP - One Time Password) naar de mobiele telefoon van die persoon, en de gebruiker moet dit OTP dan in de applicatie van de bank of betalingsdienstverlener invoeren.

In deze blogpost ga ik na of sms-authenticatie nog aanvaardbaar zal blijven wanneer de eisen van Strong Customer Authentication (SCA) volgens PSD2 in werking treden. In augustus 2016 publiceerde de European Banking Authority

(EBA) haar ontwerpvoorstel voor de technische reguleringsnorm (RTS) ten aanzien van SCA. Mijn analyse is gebaseerd op dit addendum bij PSD2. We verwachten dat de RTS in de komende weken door de EBA wordt afgerond.

Om de vraag te beantwoorden of sms-authenticatie acceptabel zal blijven, nemen we drie scenario's voor het gebruik van sms in overweging. Vervolgens bespreken we welke van de drie scenario's voldoen aan de eisen van de RTS.

Scenario 1: two-device authentication (2da)

In dit geval heeft de gebruiker twee onafhankelijke apparaten: een apparaat voor toegang tot de website of een app van een bank, en een ander apparaat voor de authenticatie van de persoon of een betaling. Het eerste apparaat, dat we het bankapparaat noemen, is typisch een desktop-pc, laptop of een mobiel toestel (zoals telefoon of tablet) waarop een app voor mobiel bankieren draait. Het tweede apparaat, het authenticatietoestel, is een mobiel apparaat dat de sms ontvangt. Wij gaan ervan uit dat de gebruiker zich op de website of app van de bank authenticeert met behulp van de OTP in de sms, samen met een wachtwoord of pincode.

Deze oplossing voldoet aan de Technische Reguleringsnorm indien het wordt gebruikt om zich bij de website of app van de bank aan te melden. De oplossing kan voldoende zijn voor het ondertekenen van een transactie, maar alleen als aan twee voorwaarden voldaan is. Ten eerste moet het sms-bericht de transactiegegevens (bijvoorbeeld bedrag en begunstigde) bevatten. Ten tweede moet de inhoud van het sms-bericht tijdens het transport en de ontvangst door het mobiele apparaat beschermd zijn tegen wijzigingen. Aan deze laatste eis wordt door sms-berichten niet makkelijk voldaan omdat ze meestal niet beschermd zijn.

Vandaar dat in het algemeen sms-authenticatie wel gebruikt kan worden om zich aan te melden, maar niet om te ondertekenen.

Scenario 2: two-app authentication (2aa)

In tegenstelling tot het vorige scenario steunt deze benadering niet op twee verschillende apparaten, maar op twee verschillende apps die op hetzelfde mobiele apparaat draaien. De apps communiceren via zogenaamde app-to-app-communicatie. We verwijzen naar deze apps als respectievelijk de bank-app en de authenticatie-app. De authenticatie-app verzoekt en ontvangt de sms-berichten.

Standaard sms-authenticatie is niet voldoende om twee redenen. Ten eerste kan de sms in transit onderschept en gewijzigd worden. Ten tweede kan de sms op het mobiele apparaat onderschept worden door malware. Dat betekent dat niet wordt voldaan aan de vereiste van de RTS, namelijk dat er 2 verschillende kanalen moeten worden gebruikt.

De oplossing wordt aanvaardbaar indien de inhoud van het sms-bericht beschermd wordt door een end-to-end beveiligd kanaal dat eindigt in de authenticatie-app, zodat alleen de app het sms-bericht kan decoderen. Dit is echter niet de standaardbenadering.

Scenario 3: one-app authenticatie (1aa)

In dit geval gebruikt de gebruiker niet alleen één apparaat, maar ook slechts één applicatie om transacties te initiëren en te verifiëren. De gebruiker gebruikt geen aparte authenticatie-appt of -toestel.

IMG_FrederickMennes-652x423 Dit scenario is niet in overeenstemming met de PSD2-eisen, omdat het niet via twee kanalen verloopt. Het gebruik van sms verandert hieraan niets.

Conclusie

We wachten nog steeds op de definitieve eisen voor sterke authenticatie volgens PSD2. Maar als er niets verandert ten opzichte van het huidige voorstel, is het duidelijk dat sms-authenticatie moeilijk aan de voorwaarden zal voldoen, in het bijzonder wat de eisen voor het goedkeuren van betalingen betreft.

Frederik Mennes, Senior Manager Market & Security Strategy bij VASCO Data Security