SMS-authenticatie: wanneer voldoet het niet meer aan beveiligingseisen?

De juridische beoordeling van SMS-2FA draait om een risico-analyse. Organisaties moeten kunnen aantonen dat deze methode voldoende veilig is voor hun specifieke dienstverlening. Bij financiële diensten gelden strengere eisen vanuit de PSD2-richtlijn, waarbij de Europese Banking Authority al in 2018 vraagtekens plaatste bij SMS als betrouwbaar authenticatiemiddel. Voor organisaties die werken volgens ISO27001 of de zorgsector-specifieke NEN7510 is dit relevant. Deze standaarden vereisen passende toegangsbeveiliging op basis van risicobeoordeling. Waar vroeger SMS-2FA als voldoende werd gezien, verschuift dit nu naar sterkere alternatieven zoals FIDO2-sleutels, authenticator-apps en passwordless-oplossingen. De praktijk blijft weerbarstig: veel organisaties maken zelf een risicoafweging, terwijl gebruikers vaak geen inzicht hebben in deze keuzes. Ook is het uitdagend om alle mogelijke beveiligingsrisico’s volledig in kaart te brengen en de potentiële impact ervan te bepalen. Voor de gemiddelde consument blijft SMS-2FA nog acceptabel, maar voor gevoelige omgevingen zoals financiële systemen, overheidsinstanties of bedrijven met kritische intellectuele eigendommen voldoet het steeds minder aan de actuele beveiligingsnormen. Meer informatie: https://www.security.nl/posting/896338/Wanneer+is+het+gebruik+van+SMS+voor+2FA+geen+”adequate”+beveiligingsmaatregel+meer%3F