Warum Zwei-Faktor-Authentifizierung per SMS nicht sicher ist

(Update) Immer mehr Website-Konten lassen sich per Zwei-Faktor-Authentifizierung (2FA) sichern. Die Methode kombiniert zwei Identifikationswege und schützt besser vor unbefugtem Zugriff als die Abfrage von Benutzername und Passwort allein. Die Zwei-Faktor-Authentifizierung per SMS kommt unter anderem beim Online-Banking zum Einsatz, gilt jedoch nicht als maximal sicher. Lernen Sie jetzt die Gründe und Alternativen kennen!

Wie funktioniert 2FA?

Für mehr Sicherheit beim Umgang mit Online-Konten setzt die Zwei-Faktor-Authentifizierung einen zweiten Identifikationsnachweis voraus. Die Anmeldung beim Website-Konto erfolgt in zwei Schritten.

  1. Wie gewohnt Benutzernamen und Passwort eintragen.
  2. Anschließend folgt eine zweite Passwortabfrage, das Passwort wird über einen zweiten Kanal abgerufen.

Das zweite Passwort erhalten Sie je nach Authentifizierungsmethode per E-Mail, als SMS aufs Handy oder über einen Passwortgenerator. Der Passwortgenerator erzeugt alle 30 Sekunden ein neues Passwort, ein per SMS zugestelltes Passwort ist ebenfalls nur eine begrenzte Zeit gültig. Welche Methode zum Einsatz kommt, hängt von der Website ab. Die doppelte Passwortabfrage steigert die Sicherheit deutlich.

Risiken & Lösungen der Zwei-Faktor-Authentifizierung per SMS

Von den unterschiedlichen Möglichkeiten der doppelten Anmeldung ist der Gebrauch von 2FA mit Einmalpasswörtern per SMS nicht die sicherste Option. Die Tabelle veranschaulicht die Risiken und zeigt mögliche Lösungen auf.

ProblemLösung
Ohne Displaysperre und Passwortschutz des Smartphones sind bei einem Diebstahl sämtliche Daten inklusive SMS zugänglich.Aktivieren Sie die Displaysperre und den Passwortschutz (auch bei 2FA mit Authenticator wichtig).
Sind Benachrichtigungen auf dem Sperrbildschirm aktiviert, können Unbefugte die SMS lesen, ohne das Gerät zu entsperren.Deaktivieren Sie die Anzeige von Benachrichtigungen für den Sperrbildschirm.
Ist die SIM-Karte nicht mit einer PIN geschützt, ist die Authentifizierungsmethode unsicher. Gelangt ein Unbefugter in den Besitz der SIM-Karte, sind die Einmalpasswörter zugänglich.Schützen Sie die SIM-Karte mit einer PIN.
Ist das Smartphone mit Malware infiziert, kann diese den Inhalt von SMS-Nachrichten abfangen und an Hacker übermitteln.Installieren Sie eine Antiviren-App.
Unter Umständen können Kriminelle eine neue SIM-Karte mit der Telefonnummer des Opfers gelangen und die SMS-Nachrichten empfangen.Kein Schutz möglich. Wenn Ihre SIM-Karte nicht mehr funktioniert, sollten Sie schnell der Ursache auf den Grund gehen.
Das SS7-Protokoll dient zur Übertragung der SMS-Nachrichten. Der Inhalt lässt sich über eine Schwachstelle abfangen. Der SS7-Exploit ist sehr arbeitsintensiv, wurde in der Praxis jedoch bereits angewandt.Für dieses Problem gibt es keine Lösung.

Zusammengefasst lässt sich festhalten, dass sich die Zwei-Faktor-Authentifizierung per SMS die Sicherheit zwar steigert, es allerdings vorteilhaftere Alternativen gibt.

Die 2FA-Alternativen im Überblick

Die bessere Möglichkeit für die Verwendung von Einmalpasswörtern per Zwei-Faktor-Authentifizierung ist der Gebrauch einer Authenticator-App. Nach der Installation auf Ihrem Smartphone öffnen Sie die Einstellungen beim zu schützenden Onlineservice und wählen, falls möglich, 2FA per App aus. Ihnen wird ein QR-Code angezeigt, den Sie mit der Authenticator-App einscannen, anschließend ist das Konto mit Ihrem Smartphone und der App synchronisiert. Alle 30 Sekunden erscheint ein neues Passwort.

Der Verschlüsselungsalgorithmus wird OATH TOTP genannt (Time-based One-Time Password der branchenübergreifenden Initiative For Open Authentication). Bei der Auswahl der App haben Sie in der Regel freie Wahl, die meisten Apps nutzen denselben Algorithmus. Beliebte Apps sind Google Authenticator (Android, iOS), Microsoft Authenticator (Android, iOS) und Authy (Android, iOS).

Wichtig: Ist das Smartphone nicht mit einem Passwort geschützt, ist die 2FA-Alternative mit Authenticator App bei einem Diebstahl genauso unsicher wie die Zwei-Faktor-Authentifizierung per SMS.

Eine weitere Alternative für die sichere Anmeldung ist die Verwendung eines Hardware-Tokens mit U2F-Standard. Den kleinen USB-Chip können Sie im Portemonnaie mit sich führen. Das Gerät wird per USB angeschlossen oder integriert ein Display mit Passwortanzeige.

Tipp zum Umgang mit 2FA

Wenn Ihr Smartphone nicht mehr funktioniert, haben Sie keinen Zugriff auf die Passwörter. Eine gute Methode ist die Registrierung von zwei Smartphones. Wie bei Autoschlüsseln bleibt der Ersatz an einem sicheren Ort zu Hause. Die Konten können Sie mit der jeweiligen App auf ein neues Gerät übertragen.

Zusammenfassung

Die 2FA erfordert für den Website-Login ein zweites Passwort und steigert die Sicherheit. Vor allem Banken und andere konservative Institutionen nutzen die Zwei-Faktor-Authentifizierung per SMS, die jedoch nicht als maximal sicher gilt. Für mehr Sicherheit müssen Sie im Smartphone die Anzeige von Benachrichtigungen deaktivieren und die SIM-Karte mit einer PIN schützen. 2FA in Kombination mit einer App ist die beliebte Alternative, ein Hardware-Token mit U2F-Standard eine weitere Möglichkeit zum Schutz von Online-Konten.

Titelmotiv: Photo by Firmbee.com on Unsplash

End of article

Wolf-Dieter

Über den Autor

Wolf-Dieter

Wolf-Dieter Fiege ist Senior Specialist für Content Marketing und SEO und verantwortlicher Redakteur des DomainFactory Blogs. Er interessiert sich leidenschaftlich für neue Themen aus der IT- Welt und engagiert sich für Open-Source-Communities. Sein Motto: Immer offen für neue Ideen.

2 Kommentare

Bitte füllen Sie das Captcha aus : *

Reload Image

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • ce
    ce - 19. Mai 2021 um 14:58 Uhr

    Seit Jahren bettele ich bei Df darum, die RP2 Hauptzugänge mit 2FA absichern zu können. Was soll das hier jetzt?

    • 2fa
      2fa - 20. Mai 2021 um 12:50 Uhr

      Ein Vorbote, da 2FA demnächst aktiviert wird 😉

      Ja, ich träume 🙂