Twitter wil dat je betaalt voor sms-controle, beter is overstappen op iets veiligers

Het extra beveiligen van een Twitter-account is binnenkort niet meer mogelijk via sms. Tenminste, als je niet betaalt voor abonnementsdienst Twitter Blue (8 dollar per maand). Voor gratis gebruikers is dit een uitgelezen moment om over te stappen op een andere, minder fraudegevoelige beveiligingsmethode.
Op Twitter worden accounts standaard beveiligd met een wachtwoord. Maar omdat wachtwoorden soms uitlekken of gestolen worden, is het slim om gebruik te maken van een extra beveiligingslaag. Na het invullen van een wachtwoord moet je dan nog een code invoeren om binnen te komen. Tweestapsverificatie noemen we dat.

Voor de meeste mensen is tweestapsverificatie via sms de gemakkelijkste manier. Je vult je telefoonnummer in en daarna krijg je een unieke code per sms om in te loggen.

"Helaas zien we dat sms-verificatie wordt misbruikt door kwaadwillenden", schrijft Twitter. "Daarom is het alleen nog voor betalende leden mogelijk om ervan gebruik te maken."

Mensen zonder een Twitter Blue-abonnement krijgen een maand de tijd om de sms-controle uit te schakelen. Dan moeten ze overstappen op een ander systeem. Na 19 maart worden gratis accounts gesloten die de verificatie per sms niet hebben uitgezet.

Simswapping en smsjes onderscheppen
Er zijn een paar redenen waarom inloggen met een sms-code niet de veiligste optie is. "Sms is een niet-versleuteld protocol", zegt Dave Maasland, directeur van beveiligingsbedrijf ESET Nederland. Hij zegt dat mensen met de juiste apparatuur sms'jes kunnen onderscheppen en meelezen. "Maar mensen moeten het op jou hebben gemunt. Je moet er als kwaadwillende echt moeite voor doen."

Daarnaast zijn de codes gevoelig voor simswapping, zegt Maasland. Hierbij nemen kwaadwillenden een telefoonnummer over. Daarna kunnen ze (samen met het wachtwoord) inloggen op online accounts door de sms te onderscheppen.

Dat doen ze door contact op te nemen met een provider en zich voor te doen als hun slachtoffer. Ze zeggen dan bijvoorbeeld dat de simkaart kapot is. Ter verificatie heeft de fraudeur vaak informatie van het slachtoffer bij de hand, zoals een naam, een mailadres en een geboortedatum. Dat soort gegevens zijn soms online te vinden.

Authenticatie-app en beveiligingssleutel
Een alternatief voor tweestapsverificatie per sms is een authenticatie-app. Onder meer Google (iOS en Android) en Microsoft (iOS en Android) bieden zo'n gratis app aan. Hiermee wordt steeds een nieuwe unieke code gemaakt om in te loggen bij gekoppelde accounts.

Een andere optie is een fysieke beveiligingssleutel. Die ziet er uit als een USB-stick en stop je in de computer om toegang tot accounts te krijgen.

Maar het zijn minder gemakkelijke opties dan een sms'je. En dat kan voor mensen die minder digitaal geletterd zijn een probleem opleveren, denkt Maasland. "Het is een reëel risico dat hiermee een beveiligingslaag wegvalt voor veel mensen", zegt hij. Degenen die niet snappen hoe zo'n authenticatie-app of sleutel werkt, houden dan vast aan alleen een wachtwoord.

Iets hogere drempel, wel veiliger
"Ik wil benadrukken dat die opties echt veiliger zijn", zegt Maasland. "In een authenticatie-app kom je niet zomaar binnen. Maar dit is een alles behalve inclusieve maatregel van Twitter."

Dat komt ook omdat Twitter Blue nog niet officieel in Nederland beschikbaar is. Klanten moeten daarom een Amerikaans abonnement afnemen om de sms-dienst te behouden. Door alleen betalende leden toegang te geven, kan Twitter ook de sms-kosten beter afvangen.

Nederlanders wordt nu een beveiligingslaag ontnomen, zegt Maasland. "Mensen worden bang gemaakt, maar het abonnement is niet eens klaar voor deze markt."

Maasland adviseert mensen daarom toch over te stappen op een andere vorm van tweestapsverificatie. "Neem even de tijd om te leren hoe je zo'n app moet instellen of vraag iemand in je omgeving om hulp. Want als het eenmaal is ingesteld, staat de code er altijd."