Generic selectors
Exact matches only
Search in title
Search in content

Offiziell bestätigt: Zwei Faktor Authentifizierung via SMS ist nicht sicher

12.08.2016 / 0 Comments

Es ist schon lange bekannt: SMS -Zwei-Faktor Authentifizierung kann relativ einfach umgangen werden und bietet keinen starken Schutz für die Nutzer. Das U.S. National Institute for Standards and Technology (NIST) hat nun in seiner Digital Authentication Guideline veröffentlicht, dass SMS-basierte Zwei-Faktor Authentifizierung nicht mehr genutzt werden sollte. Der genau Wortlaut ist hier verfügbar (in englisch), ins Deutsche übersetzt heißt das:

“ Wenn der zweite Faktor der Authentifizierung eine SMS Nachricht in einem öffentlichen Telefonnetzwerk ist, MUSS der Authentikator verifizieren, dass die zuvor registrierte Telefonnummer tatsächlich mit einem mobilen Netzwerk und nicht mit einer VoIP (oder anderen Software-Angeboten) benutzt wird. Er sendet die SMS dann zu der zuvor registrierten Telefonnummer. Die zuvor registrierte Telefonnummer DARF NICHT ohne einen zusätzlichen Authentifizierungsschritt zum Zeitpunkt der Änderung geändert werden.

OOB (Out of band verification) via SMS ist überholt und wird in zukünftigen Veröffentlichungen nicht mehr behandelt.”

WAS MACHT SMS BASIERTE ZWEI-FAKTOR AUTHENTIFIZIERUNG UNSICHER?

SMSEinfach gesagt: SMS waren niemals dafür gedacht, sensible Daten zu verschicken. Weder für vertrauliche Kommunikation und erst recht nicht um Authentifizierungsdaten zu versenden. Zwei-Faktor Authentifizierung via SMS ist an zahlreichen Stellen angreifbar. Das Hauptargument, das NIST verwendet, ist der Mangel an Besitznachweis. Jeder kann sich ein Telefon beschaffen und es gibt keine Möglichkeit nachzuweisen, dass das Telefon tatsächlich in den Händen des registrierten Nutzers ist.

Darüber hinaus wurden bereits Nutzerkonten durch den Designfehler im SS7 (Signaling System Number 7) kompromittiert, indem SMS auf dem Nutzertelefon übernommen wurden. Weitere Methoden um das SMS-OTP-Passwort zu erlangen sind Apps, die Zugriff auf die Nachrichten haben (zum Beispiel Google Messanger oder Hangouts). Textnachrichten sind die angreifbarste Anwendung auf dem Handy, da zahlreiche Apps unbeschränkten Zugriff auf die Nachrichten haben.
Auch können VoIP Angeboten genutzt werden, um Accounts zu kompromittieren. Für Online-Banking Angebote mit SMS-Tans sind außerdem Fälle mit geklonten SIM-Karten bekannt.

Zwei-Faktor Authentifizierung auf der Basis von SMS ist also extrem angreifbar gegenüber Angreifern.

WAS BEDEUTET DAS FÜR SIE?

Es ist nun offiziell, dass Zwei-Faktor Authentifizierungen auf SMS Basis nicht sicher sind. Wenn Sie diese Methode der Zwei-Faktor Authentifizierung genutzt haben, sollten sie den Richtlinien folgen und auf eine andere Zwei-Faktor Authentifizierungsmethode wechseln. Wenn Sie sich bisher ausschließlich auf Passwörter verlassen haben, sollten Sie schnellstmöglich die Zwei-Faktor Authentifizierung aktivieren. Viele Anbieter ermöglichen den Nutzern heute eine einfache Authentifizierung, zum Beispiel Facebook und Google.

Wenn Sie für Ihre Kunden Angebote entwickeln, zum Beispiel Apps oder andere Anwendungen, können Sie unsere einfachen und sicheren SecSign ID Plugins und Schnittstellen für die Sicherheit Ihrer Nutzer implementieren. Seien Sie Ihrer Konkurrenz einen Schritt voraus und bieten Sie Ihren Kunden die Sicherheit, die sie suchen.

GIBT ES EINE ALTERNATIVE?

Anbieter von Zwei-Faktor Authentifizierung bieten zahlreiche Authentifizierungsmethoden außerhalb der SMS an, von Anrufen über QR Codes oder einfachen Push Notifikationen. Jede Methode hat ihre Vor- und Nachteile, die SecSign ID kombiniert dabei jedoch die besten Merkmale um Ihnen eine Lösung zu bieten, die anderen Angeboten weit voraus ist.

SMS

SecSign 2FA