Warum Sie SMS nicht für die Zwei-Faktor-Authentifizierung verwenden sollten (und was stattdessen zu verwenden ist)
Sicherheitsexperten empfehlen die Verwendung der Zwei-Faktor-Authentifizierung, um Ihre Online-Konten nach Möglichkeit zu schützen. Bei vielen Diensten wird standardmäßig eine SMS-Bestätigung verwendet. Sie senden Codes per SMS an das Telefon, wenn Sie versuchen, sich anzumelden. SMS-Nachrichten haben jedoch zahlreiche Sicherheitsprobleme und sind die am wenigsten sichere Option für die Zwei-Faktor-Authentifizierung.
Das Wichtigste zuerst: SMS ist immer noch besser als überhaupt keine Zwei-Faktor-Authentifizierung!
Während wir uns hier mit dem Verfahren gegen SMS befassen, ist es wichtig, dass wir zunächst eines klarstellen: Die Verwendung von SMS ist besser als die Zwei-Faktor-Authentifizierung überhaupt nicht.
Wenn Sie keine Zwei-Faktor-Authentifizierung verwenden, benötigt jemand nur Ihr Kennwort, um sich bei Ihrem Konto anzumelden. Wenn Sie die Zwei-Faktor-Authentifizierung mit SMS verwenden, muss jemand sowohl Ihr Kennwort abrufen als auch Zugriff auf Ihre Kurzmitteilungen erhalten, um Zugriff auf Ihr Konto zu erhalten. SMS ist viel sicherer als gar nichts.
Wenn SMS Ihre einzige Option ist, verwenden Sie bitte SMS. Wenn Sie jedoch erfahren möchten, warum Sicherheitsexperten empfehlen, SMS zu vermeiden, und was wir stattdessen empfehlen, lesen Sie weiter.
SIM-Swaps erlauben es Angreifern, Ihre Telefonnummer zu stehlen
So funktioniert die SMS-Bestätigung: Wenn Sie versuchen, sich anzumelden, sendet der Dienst eine SMS an die Handynummer, die Sie zuvor angegeben haben. Sie erhalten diesen Code auf Ihrem Telefon und geben ihn zur Anmeldung ein. Dieser Code ist nur für den einmaligen Gebrauch geeignet.
Es hört sich einigermaßen sicher an. Immerhin haben nur Sie Ihre Telefonnummer und jemand muss Ihr Telefon haben, um den Code zu sehen. Unglücklicherweise nicht.
Wenn jemand Ihre Telefonnummer kennt und Zugang zu persönlichen Informationen wie den letzten vier Ziffern Ihrer Sozialversicherungsnummer erhält, kann dies dank der vielen Unternehmen und Behörden, die Kundendaten durchgesickert haben, leicht zu finden sein Firma und verschieben Sie Ihre Telefonnummer auf ein neues Telefon. Dies wird als „SIM-Swap“ bezeichnet. Dies ist derselbe Vorgang, den Sie ausführen, wenn Sie ein neues Gerät kaufen und Ihre Telefonnummer darauf verschieben. Die Person gibt an, dass sie Sie sind, gibt die persönlichen Daten an, und Ihre Mobilfunkfirma richtet ihr Telefon mit Ihrer Telefonnummer ein. Sie erhalten die SMS-Mitteilungscodes an Ihre Telefonnummer auf ihrem Telefon.
Wir haben Berichte über dieses Ereignis in Großbritannien erhalten, in dem Angreifer die Telefonnummer eines Opfers gestohlen und damit Zugang zum Bankkonto des Opfers erhalten. Der Bundesstaat New York hat auch vor diesem Betrug gewarnt.
Im Kern handelt es sich dabei um einen Social-Engineering-Angriff, der darauf abzielt, Ihre Mobilfunkfirma zu betrügen. Ihr Mobilfunkanbieter sollte jedoch nicht in der Lage sein, jemandem den Zugriff auf Ihre Sicherheitscodes zu ermöglichen!
SMS-Nachrichten können auf viele Arten abgefangen werden
Es ist auch möglich, an SMS-Nachrichten zu schnüffeln. Politische Dissidenten und Journalisten in repressiven Ländern sollten vorsichtig sein, da die Regierung SMS-Nachrichten entführen könnte, wenn sie über das Telefonnetz verschickt werden. Dies ist bereits im Iran der Fall, als iranische Hacker Berichten zufolge eine Reihe von Telegram Messenger-Konten manipuliert haben, indem sie die SMS-Nachrichten abgefangen haben, die den Zugriff auf diese Konten ermöglichten.
Angreifer haben auch Probleme in SS7, dem für das Roaming verwendeten Verbindungssystem, missbraucht, um SMS-Nachrichten im Netzwerk abzufangen und sie an andere Orte weiterzuleiten. Es gibt viele andere Möglichkeiten, Nachrichten abzufangen, unter anderem durch die Verwendung gefälschter Mobilfunkmasten. SMS-Nachrichten waren nicht auf Sicherheit ausgelegt und sollten nicht dafür verwendet werden.
Mit anderen Worten: Ein hochentwickelter Angreifer mit ein paar persönlichen Informationen könnte Ihre Telefonnummer entführen, um Zugriff auf Ihre Online-Konten zu erhalten, und diese Konten dann verwenden, um beispielsweise Ihre Bankkonten zu leeren. Deshalb empfiehlt das Nationale Institut für Standards und Technologie nicht mehr die Verwendung von SMS-Nachrichten für die Zwei-Faktor-Authentifizierung.
Die Alternative: Codes auf Ihrem Gerät generieren
Ein Zwei-Faktor-Authentifizierungsschema, das nicht auf SMS angewiesen ist, ist überlegen, da das Mobilfunkunternehmen keinen anderen Zugriff auf Ihre Codes gewähren kann. Die beliebteste Option hierfür ist eine App wie Google Authenticator. Wir empfehlen jedoch Authy, da es alles tut, was Google Authenticator tut und mehr.
Apps wie diese generieren Codes auf Ihrem Gerät. Selbst wenn ein Angreifer Ihre Mobilfunkfirma dazu verleitet hat, Ihre Telefonnummer auf ihr Telefon zu verschieben, können Sie Ihre Sicherheitscodes nicht abrufen. Die zur Erzeugung dieser Codes erforderlichen Daten bleiben sicher auf Ihrem Telefon.
Sie müssen auch keine Codes verwenden. Dienste wie Twitter, Google und Microsoft testen die App-basierte Zwei-Faktor-Authentifizierung, mit der Sie sich auf einem anderen Gerät anmelden können, indem Sie die Anmeldung in ihrer App auf Ihrem Telefon autorisieren.
Es gibt auch physische Hardware-Token, die Sie verwenden können. Große Unternehmen wie Google und Dropbox haben bereits einen neuen Standard für hardwarebasierte Zwei-Faktor-Authentifizierungstoken namens U2F implementiert. Dies alles ist sicherer, als sich auf Ihr Mobilfunkunternehmen und das veraltete Telefonnetz zu verlassen.
Vermeiden Sie nach Möglichkeit SMS für die Zwei-Faktor-Authentifizierung. Es ist besser als nichts und scheint praktisch, aber es ist normalerweise das sicherste Zwei-Faktor-Authentifizierungsschema, das Sie wählen können.
Leider müssen Sie bei einigen Diensten SMS verwenden. Wenn Sie sich darüber Sorgen machen, können Sie eine Google Voice-Telefonnummer erstellen und diese an Dienste weitergeben, für die eine SMS-Authentifizierung erforderlich ist. Sie können sich dann bei Ihrem Google-Konto anmelden, das Sie mit einer sichereren Zwei-Faktor-Authentifizierungsmethode schützen können, und die sicheren Nachrichten auf der Google Voice-Website oder -Anwendung sehen. Leiten Sie keine Nachrichten von Google Voice an Ihre tatsächliche Handynummer weiter.