zurück zum Blog

2 Faktor Authentifizierung – und die schlechte Idee mit den SMS

Bild von Daniel Goldinger
Daniel Goldinger
vor 146 Tagen
''

 

Eigentlich sollte man ja schon alle seine wichtigen Accounts über 2 Faktor Authentifizierung abgesichert haben. Gewisse Anbieter bevorzugen dabei, den Code per SMS an den Empfänger zu übermitteln. Wo da die Vorteile liegen, habe ich bisher sowieso nie verstanden. Jetzt hat sich der CCC (Chaos Computer Club) mit diesem Thema befasst.

Was ist eine 2 Faktor Authentifizierung?

Die Zwei-Faktor-Authentifizierung (Kurz: 2FA) ist ein Identitätsnachweis, bei dem der Benutzer neben seinem Passwort noch einen zweiten Faktor benötigt. Meist ist das ein Code, den man per SMS erhält oder über eine App (Google Authenticator, Aegis Authenticator usw.) erhält. Dieser Code wechselt ständig und verhindert, dass ein Angreifer auch bei Kenntnis des Passworts den Zugriff auf einen Account erhält.

 

Das Problem mit den SMS Codes

2FA Codes, die per SMS versendet werden, können bsp. über SIM-Swapping abgefangen werden. Die 2FA Codes werden oft über IT-Dienstleister versendet, da der Betrieb von SMS Gateways für viele Unternehmen zu aufwändig wäre. Genau da hat der CCC nun angesetzt und konnte bei dem Dienstleister „IdentifyMobile“ auf fast 200 Mio. SMS von mehr als 200 Unternehmen zugreifen. Darin befanden sich Kunden wie Google, Amazon, Facebook, Microsoft, Telegram, Airbnb, FedEx und DHL. Der CCC hat dies im Beitrag „Zweiter Faktor SMS: Noch schlechter als sein Ruf“ zusammengefasst.

 

Besser: One-Time-Passwörter mit OTP

Die elegantere Lösung als SMS sind OTP (One-time passwords). OTP sind Codes, die nach meist 30s automatisch erneuert werden. Die Grundlage zur Generierung dieser Codes ist meist die aktuelle Uhrzeit und ein definiertes Token. Das ganze Vorgehen ist standardisiert.

Das bekannte TOTP (Time-based one-time password), welches im Google Authenticator und Aegis Authenticator eingesetzt wird, basiert auf dem RFC-6238.
Diese Lösung funktioniert zuverlässig, braucht keine Mobilnetzverbindung und der Anbieter muss auch meine Rufnummer nicht kennen.
Daher, liebe Anbieter, setzt doch lieber auf TOTP Lösungen statt auf SMS Codes. Danke!

 

 

Bild von Daniel Goldinger

Autor: Daniel Goldinger

Als Gründer der Goldinger IT GmbH erfreue ich mich täglich daran, unsere aktuellsten und innovativen Cloud Lösungen weiterzuentwickeln.

Erhalten Sie kostenlose Anleitungen & News über uns

Melden Sie sich für unseren Newsletter an. Wir respektieren den Datenschutz.