Warnung: Zwei-Wege-Authentifizierung per SMS ist schlicht unsicher
Der Versand von Sicherheits-Token per SMS gilt oft immer noch als sicheres Verfahren in der Zwei-Wege-Authentifizierung. US-Behörden warnen, nach gravierenden Attacken auf kritische Infrastrukturen, aber vor dem Einsatz dieser Methode.
Die US-Behörde Cybersecurity and Infrastructure Security Agency (CISA) warnte daher in dieser Woche ausdrücklich vor der Nutzung von SMS als Methode zur Multi-Faktor-Authentifizierung (MFA). In ihrer aktuellen Richtlinie heißt es: "SMS-Nachrichten sind nicht verschlüsselt. Ein Angreifer, der Zugriff auf ein Telekommunikationsnetzwerk hat, kann diese Nachrichten abfangen und lesen." Besonders für hochrangige Zielpersonen sei SMS-MFA keine sichere Option.
Die Empfehlung der CISA lautet, stattdessen Phishing-resistente Methoden wie Authentifizierungs-Apps oder Passkeys zu verwenden. Während nicht alle Dienste alternative MFA-Optionen anbieten, sollten Nutzer, wenn möglich, auf sicherere Alternativen umsteigen.
CISA hebt hervor, dass verschlüsselte Messaging-Apps nicht nur für Einzelpersonen, sondern auch für Regierungsbehörden von entscheidender Bedeutung sind. Ziel sei es immerhin, Kommunikationskanäle vor potenziellen Abhörversuchen zu schützen.
Siehe auch:
Erfahrung aus Salt Typhoon
Ein kürzlich bekannt gewordener Cyberangriff, bezeichnet als "Salt Typhoon", hat schwerwiegende Schwachstellen in der US-Telekommunikationsinfrastruktur offengelegt. Hacker, die der chinesischen Regierung nahestehen sollen, haben nach Berichten Zugriff auf unverschlüsselte Kommunikation wie Telefonate und SMS-Nachrichten erlangt. Der Angriff wird als einer der schlimmsten in der Geschichte der USA eingestuft.Die US-Behörde Cybersecurity and Infrastructure Security Agency (CISA) warnte daher in dieser Woche ausdrücklich vor der Nutzung von SMS als Methode zur Multi-Faktor-Authentifizierung (MFA). In ihrer aktuellen Richtlinie heißt es: "SMS-Nachrichten sind nicht verschlüsselt. Ein Angreifer, der Zugriff auf ein Telekommunikationsnetzwerk hat, kann diese Nachrichten abfangen und lesen." Besonders für hochrangige Zielpersonen sei SMS-MFA keine sichere Option.
Die Empfehlung der CISA lautet, stattdessen Phishing-resistente Methoden wie Authentifizierungs-Apps oder Passkeys zu verwenden. Während nicht alle Dienste alternative MFA-Optionen anbieten, sollten Nutzer, wenn möglich, auf sicherere Alternativen umsteigen.
FBI offen für Krypto
Salt Typhoon hat bei den Sicherheitsbehörden durchaus Eindruck hinterlassen. Das zeigt sich unter anderem auch daran, dass selbst das FBI, das traditionell eine skeptische Haltung gegenüber starker Verschlüsselung einnimmt, nun deren Nutzung empfiehlt. Die Behörde hat sich dafür ausgesprochen, Apps wie Signal zu verwenden, die Ende-zu-Ende-Verschlüsselung bieten. Diese garantieren eine sichere Kommunikation und sind mit gängigen Betriebssystemen wie iOS, Android, Windows und MacOS kompatibel.CISA hebt hervor, dass verschlüsselte Messaging-Apps nicht nur für Einzelpersonen, sondern auch für Regierungsbehörden von entscheidender Bedeutung sind. Ziel sei es immerhin, Kommunikationskanäle vor potenziellen Abhörversuchen zu schützen.
Zusammenfassung
- Nach 'Salt Typhoon'-Angriff warnen US-Behörden vor SMS-basierter Authentifizierung
- Chinesische Hacker erlangten Zugriff auf unverschlüsselte Kommunikation in den USA
- CISA empfiehlt Nutzung von Authentifizierungs-Apps oder Passkeys statt SMS-MFA
- FBI rät nun überraschend zur Nutzung von Ende-zu-Ende-verschlüsselten Apps wie Signal
- Selbst Regierungsbehörden sollen auf verschlüsselte Messaging-Dienste umsteigen
- Unverschlüsselte SMS-Nachrichten können in Telekommunikationsnetzwerken abgefangen werden
Siehe auch:
Thema:
Beliebte Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen