Der Chaos Computer Club (CCC) rät davon ab, sich bei der Zwei-Faktor-Authentifizierung (2FA) auf SMS zu verlassen. Neben bekannten Methoden, mit denen Hacker Nachrichten mit Einmalpasswörtern abfangen können, weist der CCC auf ein neues potenzielles Angriffsszenario hin.
Was ist 2FA und warum ist es wichtig?
2FA bietet eine zusätzliche Sicherheitsebene für Online-Konten. Neben einem Passwort wird ein Code benötigt, der meist per SMS oder Authentifizierungs-App zugestellt wird. Selbst wenn ein Passwort in falsche Hände gerät, ist das Konto somit noch nicht kompromittiert. Besonders für sensible Konten wie Einkaufs-, Finanz- oder Unternehmenskonten sind diese Praktiken sinnvoll.
Bekannte Risiken von SMS-Codes
Angreifer können durch SIM-Swapping oder Ausnutzung des Telekommunikationsstandards SS7 SMS abfangen und so an die Codes gelangen. Beim SIM-Swapping versuchen Angreifer, die Kontrolle über die SIM-Karte und damit die Telefonnummer und Identität des Opfers zu erlangen.
Neues Sicherheitsrisiko aufgedeckt
Viele Unternehmen setzen für die SMS-Zustellung von 2FA-Codes auf Drittanbieter. Sicherheitsforscher konnten kürzlich auf fast 200 Millionen 2FA-Codes des SMS-Dienstleisters IdentifyMobile zugreifen, indem sie eine Subdomain („idmdatastore“) errieten. Der Anbieter hatte offenbar fahrlässig gehandelt und sensible Kundendaten nicht ausreichend geschützt.Über 200 Firmen, darunter Amazon, DHL und Facebook, arbeiten mit IdentifyMobile zusammen. Ob auch Kriminelle Zugriff auf deren Daten hatten, ist unklar.
Sichere Alternativen zu SMS-Codes
Um die Kontosicherheit zu erhöhen, empfiehlt es sich, die SMS-Zustellung für 2FA-Codes zu deaktivieren und stattdessen Apps wie Aegis Authenticator zu nutzen, die Codes lokal auf dem Handy generieren und quelloffenquelloffen auch "open source" sind Programme, deren Code für jeden einsehbar ist. Programmierer können so verstehen, wie die Software funktioniert, ob sie Fehler aufweist oder unlautere Zwecke verfolgt. sind. Auch Passkeys wie Passwords von Nextcloud können die Sicherheit verbessern.
Fazit:
Auch wenn 2FA die Sicherheit erhöht, birgt die Nutzung von SMS-Codes Risiken. Mit Authentificator-Apps oder Passkeys stehen sicherere Alternativen zur Verfügung, um Online-Konten zu schützen.
