Ausstieg aus 2-Wege-Authentifizierung per SMS dringend empfohlen

Sicherheit, passwort, Authentifizierung Bildquelle: Dev.Arka / Flickr
Viele Online-Plattformen sind gerade erst richtig dabei, die Nutzer von der Verwendung einer Zwei-Wege-Authentifizierung per SMS überzeugen zu wollen, da wird das Verfahren von offizieller Seite auch schon auf das Abstellgleis geschoben. Denn es ist schlicht zu unsicher.
Der Versand von Login-Kennungen, Tokens oder anderen Security-Daten per SMS sollte schrittweise wieder abgeschafft werden, lautet die Empfehlung des neuesten Leitfadens zur Ausgestaltung von Authentifizierungssystemen, der regelmäßig vom National Institute for Standards and Technology (NIST) der USA veröffentlicht wird. Dieser dient privatwirtschaftlichen Unternehmen oft als Richtschnur und ist für die Online-Angebote von US-Behörden zumindest inoffiziell eine Handlungsanweisung.

In der aktuellen Fassung des Leitfadens wird die Authentifizerung per SMS als nicht mehr empfohlen gekennzeichnet. Damit stellt diese Version eine Übergangsregelung dar und es ist davon auszugehen, dass das Verfahren in Kürze generell als unsicher eingestuft wird. Schon jetzt ist die Nutzung der Textnachrichten an Bedingungen geknüpft, damit das Verfahren zumindest als halbwegs sicher angesehen werden kann.


Der Diensteanbieter müsse beispielsweise sicherstellen, dass die Telefonnummer, an die die SMS geschickt werden soll, mit einem herkömmlichen Mobiltelefon und ganz besonders nicht mit einem VoIP-Service verbunden ist. Denn letzteres bietet schlicht zu große Angriffspunkte.

Verzahnung von PC & Phone: Bequem, aber unsicher

Unter diese Definition dürften nicht nur VoIP-Dienste im engeren Sinne fallen, sondern auch die Features, mit denen die Anbieter der großen Smartphone-Plattformen ein geräteübergreifendes Arbeiten möglich machen. Bei Apple sind beispielsweise Macs und iPhones so miteinander verzahnt, dass auch die für das Mobiltelefon bestimmten SMS parallel in der Nachrichten-Anwendung auf dem Rechner aufschlagen. Für den Nutzer ist das bequem, doch der zweite Kanal, der die Zwei-Wege-Authentifizierung sicherer machen soll, wird so komplett ausgehebelt. Eine Banking-Malware könnte so beispielsweise TANs direkt auf dem Computer ausspionieren, auf dem sie gerade erst die Zugangsdaten zum Online-Banking abgegriffen hat.

Seitens des NIST empfiehlt man stattdessen den Einsatz von Tokens oder kryptografischen Authentifizierungs-Modulen, die komplett auf ein zweites Gerät beschränkt sind. Das kann auch in Form einer entsprechenden Smartphone-App erfolgen. Auch hier bestünden durchaus Risiken - etwa bei einem Diebstahl des fraglichen Telefons, doch seien diese im hinnehmbaren Rahmen und immer noch wesentlich sicherer als die SMS-Methode. Sicherheit, passwort, Authentifizierung Sicherheit, passwort, Authentifizierung Dev.Arka / Flickr
Diese Nachricht empfehlen
Kommentieren66
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 09:00 Uhr Logitech MX Master kabellose Maus für Windows/Mac mit Verbindungsmöglichkeiten (Bluetooth, Unifying)
Logitech MX Master kabellose Maus für Windows/Mac mit Verbindungsmöglichkeiten (Bluetooth, Unifying)
Original Amazon-Preis
69,95
Im Preisvergleich ab
69,00
Blitzangebot-Preis
53,99
Ersparnis zu Amazon 23% oder 15,96

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden