16Jul
Sicherheitsexperten empfehlen die Zwei-Faktor-Authentifizierung, um Ihre Online-Konten nach Möglichkeit zu schützen. Viele Dienste verwenden standardmäßig die SMS-Überprüfung und senden Codes per SMS an Ihr Telefon, wenn Sie versuchen, sich anzumelden. SMS-Nachrichten weisen jedoch viele Sicherheitsprobleme auf und sind die am wenigsten sichere Option für die Zwei-Faktor-Authentifizierung.
First Things First: SMS ist immer noch besser als keine Zwei-Faktor-Authentifizierung überhaupt!
Während wir hier den Fall gegen SMS auslegen, ist es wichtig, dass wir zuerst eines klarstellen: Die Verwendung von SMS ist besser, als überhaupt keine Zwei-Faktor-Authentifizierung zu verwenden.
Wenn Sie keine Zwei-Faktor-Authentifizierung verwenden, benötigt jemand nur Ihr Passwort, um sich in Ihrem Konto anzumelden. Wenn Sie die Zwei-Faktor-Authentifizierung mit SMS verwenden, muss jemand Ihr Passwort erwerben und Zugang zu Ihren Textnachrichten erhalten, um Zugang zu Ihrem Konto zu erhalten. SMS ist viel sicherer als gar nichts.
Wenn SMS Ihre einzige Option ist, verwenden Sie bitte SMS.Wenn Sie jedoch erfahren möchten, warum Sicherheitsexperten empfehlen, SMS zu vermeiden und was wir stattdessen empfehlen, lesen Sie weiter.
SIM-Swaps ermöglichen es Angreifern, Ihre Telefonnummer zu stehlen
So funktioniert die SMS-Überprüfung: Wenn Sie sich anmelden, sendet der Dienst eine SMS an die Handynummer, die Sie ihm zuvor zur Verfügung gestellt haben. Sie erhalten diesen Code auf Ihrem Telefon und geben ihn ein, um sich anzumelden. Dieser Code eignet sich nur für den einmaligen Gebrauch.
Es klingt einigermaßen sicher. Schließlich haben nur Sie Ihre Telefonnummer und jemand muss Ihr Telefon haben, um den Code-Recht zu sehen? Unglücklicherweise nicht.
Wenn jemand Ihre Telefonnummer kennt und Zugang zu persönlichen Informationen wie den letzten vier Ziffern Ihrer Sozialversicherungsnummer hat - diese sind leider dank der vielen Unternehmen und Regierungsbehörden, die Kundendaten durchgesickert haben, leicht zu finden - können sie sich an IhreTelefongesellschaft und verschieben Sie Ihre Telefonnummer auf ein neues Telefon. Dies wird als "SIM-Swap" bezeichnet. Dies ist derselbe Vorgang, den Sie beim Kauf eines neuen Geräts ausführen und Ihre Telefonnummer dorthin verschieben. Die Person sagt, dass Sie Sie sind, stellt die persönlichen Daten bereit, und Ihre Mobiltelefongesellschaft richtet ihr Telefon mit Ihrer Telefonnummer ein. Sie erhalten die SMS-Nachrichtencodes, die an Ihre Telefonnummer auf ihrem Telefon gesendet werden.
Wir haben Berichte darüber in Großbritannien gesehen, wo Angreifer die Telefonnummer eines Opfers gestohlen und damit Zugriff auf das Bankkonto des Opfers erhalten haben. Der Staat New York hat ebenfalls vor diesem Betrug gewarnt.
Im Kern handelt es sich dabei um einen Social-Engineering-Angriff, der darauf beruht, Ihr Mobiltelefonunternehmen zu täuschen. Aber Ihre Handy-Firma sollte nicht in der Lage sein, jemandem Zugang zu Ihren Sicherheitscodes zu verschaffen!
SMS-Nachrichten können auf viele Arten abgefangen werden
Es ist auch möglich, SMS-Nachrichten abzurufen. Politische Dissidenten und Journalisten in repressiven Ländern werden vorsichtig sein wollen, da die Regierung SMS-Nachrichten entführen könnte, wenn sie durch das Telefonnetz geschickt werden. Dies ist bereits im Iran geschehen, wo iranische Hacker Berichten zufolge eine Reihe von Telegramm-Messenger-Konten kompromittiert haben, indem sie die SMS-Nachrichten abgefangen haben, die den Zugang zu diesen Konten ermöglichten.
Angreifer haben auch Probleme in SS7, dem Verbindungssystem, das zum Roaming verwendet wird, missbraucht, um SMS-Nachrichten im Netzwerk abzufangen und sie an anderer Stelle weiterzuleiten. Es gibt viele andere Möglichkeiten, wie Nachrichten abgefangen werden können, unter anderem durch die Verwendung gefälschter Handymasten. SMS-Nachrichten wurden nicht für die Sicherheit entwickelt und sollten nicht dafür verwendet werden.
Mit anderen Worten, ein ausgefuchster Angreifer mit ein paar persönlichen Informationen könnte Ihre Telefonnummer entführen, um Zugang zu Ihren Online-Konten zu erhalten, und dann diese Konten verwenden, um beispielsweise Ihre Bankkonten zu entlasten. Aus diesem Grund empfiehlt das National Institute of Standards and Technology die Verwendung von SMS-Nachrichten für die Zwei-Faktor-Authentifizierung nicht mehr.
Die Alternative: Generieren Sie Codes auf Ihrem Gerät
Ein Zwei-Faktor-Authentifizierungsschema, das nicht auf SMS beruht, ist besser, da das Mobiltelefonunternehmen anderen Personen keinen Zugriff auf Ihre Codes geben kann. Die beliebteste Option hierfür ist eine App wie Google Authenticator. Wir empfehlen jedoch Authy, da es alles tut, was Google Authenticator tut und mehr.
Apps wie diese generieren Codes auf Ihrem Gerät. Selbst wenn ein Angreifer Ihre Telefongesellschaft dazu verleitet hat, Ihre Telefonnummer auf ihr Telefon zu übertragen, ist es Ihnen nicht möglich, Ihre Sicherheitscodes zu erhalten. Die Daten, die zur Generierung dieser Codes benötigt werden, verbleiben auf Ihrem Telefon.
Sie müssen auch keine Codes verwenden. Dienste wie Twitter, Google und Microsoft testen die App-basierte Zwei-Faktor-Authentifizierung, mit der Sie sich auf einem anderen Gerät anmelden können, indem Sie die Anmeldung in ihrer App auf Ihrem Telefon autorisieren.
Es gibt auch physische Hardwaretoken, die Sie verwenden können. Große Unternehmen wie Google und Dropbox haben bereits einen neuen Standard für Hardware-basierte Zwei-Faktor-Authentifizierungs-Token namens U2F implementiert. Diese sind alle sicherer, als sich auf Ihr Handyunternehmen und das veraltete Telefonnetz zu verlassen.
Vermeiden Sie nach Möglichkeit SMS für die Zwei-Faktor-Authentifizierung. Es ist besser als nichts und scheint praktisch, aber es ist normalerweise das am wenigsten sichere Zwei-Faktor-Authentifizierungsschema, das Sie wählen können.
Leider erzwingen einige Dienste die Verwendung von SMS.Wenn Sie sich darüber Gedanken machen, können Sie eine Google Voice-Telefonnummer erstellen und diese Diensten zuweisen, für die eine SMS-Authentifizierung erforderlich ist. Sie können sich dann in Ihrem Google-Konto anmelden, das Sie mit einer sichereren Zwei-Faktor-Authentifizierungsmethode schützen können, und die sicheren Nachrichten auf der Google Voice-Website oder in der Google Apps App sehen. Leiten Sie Nachrichten von Google Voice nicht an Ihre tatsächliche Mobiltelefonnummer weiter.