12.08.2016 / 0 Comments
Es ist schon lange bekannt: SMS -Zwei-Faktor Authentifizierung kann relativ einfach umgangen werden und bietet keinen starken Schutz für die Nutzer. Das U.S. National Institute for Standards and Technology (NIST) hat nun in seiner Digital Authentication Guideline veröffentlicht, dass SMS-basierte Zwei-Faktor Authentifizierung nicht mehr genutzt werden sollte. Der genau Wortlaut ist hier verfügbar (in englisch), ins Deutsche übersetzt heißt das:
“ Wenn der zweite Faktor der Authentifizierung eine SMS Nachricht in einem öffentlichen Telefonnetzwerk ist, MUSS der Authentikator verifizieren, dass die zuvor registrierte Telefonnummer tatsächlich mit einem mobilen Netzwerk und nicht mit einer VoIP (oder anderen Software-Angeboten) benutzt wird. Er sendet die SMS dann zu der zuvor registrierten Telefonnummer. Die zuvor registrierte Telefonnummer DARF NICHT ohne einen zusätzlichen Authentifizierungsschritt zum Zeitpunkt der Änderung geändert werden.
OOB (Out of band verification) via SMS ist überholt und wird in zukünftigen Veröffentlichungen nicht mehr behandelt.”
Einfach gesagt: SMS waren niemals dafür gedacht, sensible Daten zu verschicken. Weder für vertrauliche Kommunikation und erst recht nicht um Authentifizierungsdaten zu versenden. Zwei-Faktor Authentifizierung via SMS ist an zahlreichen Stellen angreifbar. Das Hauptargument, das NIST verwendet, ist der Mangel an Besitznachweis. Jeder kann sich ein Telefon beschaffen und es gibt keine Möglichkeit nachzuweisen, dass das Telefon tatsächlich in den Händen des registrierten Nutzers ist.
Darüber hinaus wurden bereits Nutzerkonten durch den Designfehler im SS7 (Signaling System Number 7) kompromittiert, indem SMS auf dem Nutzertelefon übernommen wurden. Weitere Methoden um das SMS-OTP-Passwort zu erlangen sind Apps, die Zugriff auf die Nachrichten haben (zum Beispiel Google Messanger oder Hangouts). Textnachrichten sind die angreifbarste Anwendung auf dem Handy, da zahlreiche Apps unbeschränkten Zugriff auf die Nachrichten haben.
Auch können VoIP Angeboten genutzt werden, um Accounts zu kompromittieren. Für Online-Banking Angebote mit SMS-Tans sind außerdem Fälle mit geklonten SIM-Karten bekannt.
Zwei-Faktor Authentifizierung auf der Basis von SMS ist also extrem angreifbar gegenüber Angreifern.
Es ist nun offiziell, dass Zwei-Faktor Authentifizierungen auf SMS Basis nicht sicher sind. Wenn Sie diese Methode der Zwei-Faktor Authentifizierung genutzt haben, sollten sie den Richtlinien folgen und auf eine andere Zwei-Faktor Authentifizierungsmethode wechseln. Wenn Sie sich bisher ausschließlich auf Passwörter verlassen haben, sollten Sie schnellstmöglich die Zwei-Faktor Authentifizierung aktivieren. Viele Anbieter ermöglichen den Nutzern heute eine einfache Authentifizierung, zum Beispiel Facebook und Google.
Wenn Sie für Ihre Kunden Angebote entwickeln, zum Beispiel Apps oder andere Anwendungen, können Sie unsere einfachen und sicheren SecSign ID Plugins und Schnittstellen für die Sicherheit Ihrer Nutzer implementieren. Seien Sie Ihrer Konkurrenz einen Schritt voraus und bieten Sie Ihren Kunden die Sicherheit, die sie suchen.
Anbieter von Zwei-Faktor Authentifizierung bieten zahlreiche Authentifizierungsmethoden außerhalb der SMS an, von Anrufen über QR Codes oder einfachen Push Notifikationen. Jede Methode hat ihre Vor- und Nachteile, die SecSign ID kombiniert dabei jedoch die besten Merkmale um Ihnen eine Lösung zu bieten, die anderen Angeboten weit voraus ist.
Würden Sie gerne mehr über unsere innovativen und hochsicheren Lösungen zum Schutz von Nutzerkonten und empfindlichen Daten erfahren?
Nutzen Sie unser Kontaktformular und ein SecSign Kundenbetreuer wird innerhalb eines Arbeitstages Kontakt mit Ihnen aufnehmen.
Benötigen Sie Hilfe mit einem existierenden SecSign Account oder einer Produktinstallation? Die häufigsten Fragen haben wir in unseren FAQs zusammengefasst. Sie finden keine Lösung zu Ihrem Problem? Kontaktieren Sie den
Kundensupport
Ich Interessiere mich für