2 Faktor Authentifizierung – und die schlechte Idee mit den SMS

Was ist eine 2 Faktor Authentifizierung?

Die Zwei-Faktor-Authentifizierung (Kurz: 2FA) ist ein Identitätsnachweis, bei dem der Benutzer neben seinem Passwort noch einen zweiten Faktor benötigt. Meist ist das ein Code, den man per SMS erhält oder über eine App (Google Authenticator, Aegis Authenticator usw.) erhält. Dieser Code wechselt ständig und verhindert, dass ein Angreifer auch bei Kenntnis des Passworts den Zugriff auf einen Account erhält.

Das Problem mit den SMS Codes

2FA Codes, die per SMS versendet werden, können bsp. über SIM-Swapping abgefangen werden. Die 2FA Codes werden oft über IT-Dienstleister versendet, da der Betrieb von SMS Gateways für viele Unternehmen zu aufwändig wäre. Genau da hat der CCC nun angesetzt und konnte bei dem Dienstleister „IdentifyMobile“ auf fast 200 Mio. SMS von mehr als 200 Unternehmen zugreifen. Darin befanden sich Kunden wie Google, Amazon, Facebook, Microsoft, Telegram, Airbnb, FedEx und DHL. Der CCC hat dies im Beitrag „Zweiter Faktor SMS: Noch schlechter als sein Ruf“ zusammengefasst.

Besser: One-Time-Passwörter mit OTP

Die elegantere Lösung als SMS sind OTP (One-time passwords). OTP sind Codes, die nach meist 30s automatisch erneuert werden. Die Grundlage zur Generierung dieser Codes ist meist die aktuelle Uhrzeit und ein definiertes Token. Das ganze Vorgehen ist standardisiert.

Das bekannte TOTP (Time-based one-time password), welches im Google Authenticator und Aegis Authenticator eingesetzt wird, basiert auf dem RFC-6238.
Diese Lösung funktioniert zuverlässig, braucht keine Mobilnetzverbindung und der Anbieter muss auch meine Rufnummer nicht kennen.
Daher, liebe Anbieter, setzt doch lieber auf TOTP Lösungen statt auf SMS Codes. Danke!

Bild von Phishing Kampagnen mit MFA & Gedanken zu allen Eiern im Korb

Neues Passwort:
Neues Passwort (nochmal):