Je moet geen gebruikmaken van tweestapsverificatie via sms of een gesproken bericht, stelt Alex Weinert, engineer en directeur Identity Security bij Microsoft. In een blogpost van Microsoft stelt hij dat het voor oplichters mogelijk is om deze vorm van tweestapsauthenticatie te kraken.

Je kunt volgens hem beter gebruikmaken van authenticatie-apps. Bij tweestapsauthenticatie voeg je een extra beveiligingslaag toe aan aan je inlog. Hierdoor hebben kwaadwillenden niet direct toegang tot je account als ze je wachtwoord weten.

'Dit is de meest onveilige vorm van tweestapsverificatie', schrijft Weinert over sms en gesproken berichten. Bij deze vorm krijg je na het invullen van je wachtwoord een sms'je met een code, of een oproep waarin de code wordt uitgesproken. Het is volgens Weinert onveilig omdat deze code via verschillende manieren bemachtigd kan worden door criminelen, bijvoorbeeld via phishing, overname van je account of wanneer je toestel gestolen is. 

Een bijkomend nadeel van een verificatiecode via sms is dat de code relatief lang geldig is. Sommige sms-codes zijn bijvoorbeeld binnen een kwartier ongeldig, maar dit kan voor oplichters net genoeg tijd zijn om de code te bemachtigen.

Gebruik authenticatie-app

Een veilige optie van tweestapsverificatie is via een authenticatie-app, zoals Google Authenticator, Authy, Password Checkup en Microsoft Authenticator. 

Deze apps koppel je aan een account. De app genereert een verificatiecode zodra er een inlogpoging op dat account wordt gedaan. Deze code is meestal maximaal dertig seconden geldig. 

Bron: Microsoft / Tweakers