Sicherheitsexperten empfehlen mit Zwei-Faktor-Authentifizierung um Ihre Online-Konten wo immer möglich zu sichern. Viele Dienste verwenden standardmäßig die SMS-Überprüfung und senden Codes per Textnachricht an Ihr Telefon, wenn Sie versuchen, sich anzumelden. SMS-Nachrichten weisen jedoch viele Sicherheitsprobleme auf und sind die am wenigsten sichere Option für die Zwei-Faktor-Authentifizierung.
Das Wichtigste zuerst: SMS ist immer noch besser als gar keine Zwei-Faktor-Authentifizierung!
VERBUNDEN: Was ist eine Zwei-Faktor-Authentifizierung und warum brauche ich sie?
Während wir hier den Fall gegen SMS darlegen, ist es wichtig, dass wir zunächst eines klarstellen: Die Verwendung von SMS ist besser, als überhaupt keine Zwei-Faktor-Authentifizierung zu verwenden.
Wenn Sie keine Zwei-Faktor-Authentifizierung verwenden, benötigt jemand nur Ihr Passwort, um sich in Ihrem Konto anzumelden. Wenn Sie die Zwei-Faktor-Authentifizierung mit SMS verwenden, muss jemand sowohl Ihr Passwort erwerben als auch Zugriff auf Ihre Textnachrichten erhalten, um Zugriff auf Ihr Konto zu erhalten. SMS ist viel sicherer als gar nichts.
Wenn SMS Ihre einzige Option ist, verwenden Sie bitte SMS. Wenn Sie jedoch erfahren möchten, warum Sicherheitsexperten das Vermeiden von SMS empfehlen und was wir stattdessen empfehlen, lesen Sie weiter.
Mit SIM-Swaps können Angreifer Ihre Telefonnummer stehlen
So funktioniert die SMS-Überprüfung: Wenn Sie versuchen, sich anzumelden, sendet der Dienst eine Textnachricht an die Mobiltelefonnummer, die Sie zuvor angegeben haben. Sie erhalten diesen Code auf Ihrem Telefon und geben ihn ein, um sich anzumelden. Dieser Code ist nur für eine einmalige Verwendung geeignet.
Es klingt ziemlich sicher. Schließlich haben nur Sie Ihre Telefonnummer und jemand muss Ihr Telefon haben, um den Code zu sehen - richtig? Unglücklicherweise nicht.
Wenn jemand Ihre Telefonnummer kennt und auf persönliche Informationen wie die letzten vier Ziffern Ihrer Sozialversicherungsnummer zugreifen kann - dies ist leider dank der vielen Unternehmen und Regierungsbehörden, die Kundendaten durchgesickert sind, leicht zu finden -, kann er Ihr Telefon kontaktieren Unternehmen und verschieben Sie Ihre Telefonnummer auf ein neues Telefon. Dies ist als „ SIM-Tausch “Und ist der gleiche Vorgang, den Sie ausführen, wenn Sie ein neues Gerät kaufen und Ihre Telefonnummer darauf verschieben. Die Person sagt, dass sie Sie sind, gibt die persönlichen Daten an und Ihre Mobilfunkgesellschaft richtet ihr Telefon mit Ihrer Telefonnummer ein. Sie erhalten die SMS-Nachrichtencodes auf Ihrem Telefon an Ihre Telefonnummer gesendet.
Wir haben Berichte darüber gesehen im Vereinigten Königreich , wo Angreifer die Telefonnummer eines Opfers gestohlen und damit Zugriff auf das Bankkonto des Opfers erhalten haben. New York State hat auch gewarnt über diesen Betrug.
Im Kern ist dies ein Social-Engineering-Angriff Das hängt davon ab, ob Sie Ihre Handyfirma austricksen. Ihr Mobilfunkunternehmen sollte jedoch nicht in der Lage sein, jemandem Zugriff auf Ihre Sicherheitscodes zu gewähren!
SMS-Nachrichten können auf viele Arten abgefangen werden
Es ist auch möglich, SMS-Nachrichten zu verfolgen. Politische Dissidenten und Journalisten in repressiven Ländern sollten vorsichtig sein, da die Regierung SMS-Nachrichten entführen könnte, wenn sie über das Telefonnetz gesendet werden. Dies ist bereits in geschehen Iran Berichten zufolge haben iranische Hacker eine Reihe von Telegramm-Messenger-Konten kompromittiert, indem sie die SMS-Nachrichten abgefangen haben, die den Zugriff auf diese Konten ermöglichten.
Angreifer haben auch missbraucht Probleme in SS7 , das Verbindungssystem, das zum Roaming verwendet wird, um SMS-Nachrichten im Netzwerk abzufangen und an eine andere Stelle weiterzuleiten. Es gibt viele andere Möglichkeiten, wie Nachrichten abgefangen werden können, unter anderem durch die Verwendung gefälschter Handytürme. SMS-Nachrichten waren nicht auf Sicherheit ausgelegt und sollten nicht dafür verwendet werden.
Mit anderen Worten, ein erfahrener Angreifer mit einigen persönlichen Informationen könnte Ihre Telefonnummer entführen, um Zugriff auf Ihre Online-Konten zu erhalten, und diese Konten dann beispielsweise verwenden, um zu versuchen, Ihre Bankkonten zu entleeren. Deshalb ist das National Institute of Standards and Technology nicht mehr empfehlen die Verwendung von SMS-Nachrichten für die Zwei-Faktor-Authentifizierung.
Die Alternative: Generieren Sie Codes auf Ihrem Gerät
Ein Zwei-Faktor-Authentifizierungsschema, das nicht auf SMS basiert, ist überlegen, da die Mobilfunkgesellschaft keinem anderen Benutzer Zugriff auf Ihre Codes gewähren kann. Die beliebteste Option hierfür ist eine App wie Google Authenticator . Jedoch, Wir empfehlen Authy , da es alles macht, was Google Authenticator macht und mehr.
Apps wie diese generieren Codes auf Ihrem Gerät. Selbst wenn ein Angreifer Ihre Mobilfunkgesellschaft dazu verleitet hätte, Ihre Telefonnummer auf ihr Telefon zu verschieben, könnte er Ihre Sicherheitscodes nicht erhalten. Die zum Generieren dieser Codes erforderlichen Daten bleiben sicher auf Ihrem Telefon.
VERBUNDEN: So richten Sie die neue Zwei-Faktor-Authentifizierung ohne Code von Google ein
Sie müssen auch keine Codes verwenden. Dienste wie Twitter, Google und Microsoft testen App-basierte Zwei-Faktor-Authentifizierung Auf diese Weise können Sie sich auf einem anderen Gerät anmelden, indem Sie die Anmeldung in dessen App auf Ihrem Telefon autorisieren.
Es gibt auch physische Hardware-Token, die Sie verwenden können. Große Unternehmen wie Google und Dropbox haben bereits implementiert Ein neuer Standard für hardwarebasierte Zwei-Faktor-Authentifizierungstoken mit dem Namen U2F . Diese sind alle sicherer, als sich auf Ihre Mobilfunkgesellschaft und das veraltete Telefonnetz zu verlassen.
Vermeiden Sie nach Möglichkeit SMS für die Zwei-Faktor-Authentifizierung. Es ist besser als nichts und scheint praktisch zu sein, aber es ist normalerweise das am wenigsten sichere Zwei-Faktor-Authentifizierungsschema, das Sie auswählen können.
Leider zwingen Sie einige Dienste zur Verwendung von SMS. Wenn Sie sich darüber Sorgen machen, können Sie eine Google Voice-Telefonnummer erstellen und diese an Dienste weitergeben, für die eine SMS-Authentifizierung erforderlich ist. Sie können sich dann in Ihrem Google-Konto anmelden, das Sie mit einer sichereren Zwei-Faktor-Authentifizierungsmethode schützen können, und die sicheren Nachrichten auf der Google Voice-Website oder -App anzeigen. Leiten Sie Nachrichten von Google Voice einfach nicht an Ihre tatsächliche Handynummer weiter.
