Ook tweefactor-authenticatie (2FA) is uiteraard gevoelig voor aanvallen (bijvoorbeeld via social engineering) en een voorbeeld daarvan deed zich dit weekend voor het de Google-account van een softwareontwikkelaar, meldt Ars Technica. Dat account werd overgenomen doordat iemand de verificatiesms'jes onderschepte.

Verificatiecode naar aanvaller

Ontwikkelaar Grant Blakeman beschrijft op Ello hoe zijn 2FA werd omzeild doordat kwaadwillenden de telco blijkbaar zover hebben gekregen sms'jes te forwarden naar een ander nummer. De verificatiecode die je van Google moet invoeren als je via een vreemde machine wilt inloggen, kwam zo terecht bij de ongeautoriseerde persoon.

Blakeman nam contact op met zijn telefonieprovider, die meldt dat alleen hij toegang heeft om wijzigingen te maken. Dat zou social engineering dus uitsluiten. Hoe de aanvaller dan toch is binnengekomen, is officieel een raadsel. De ontwikkelaar raadt aan om vooral wel 2FA in te zetten - het is immers een extra drempel voor snoodaards die je account willen veroveren. Maar zorg er wel voor dat je je bewust bent van de beperkingen daarvan.