Connect with us

Wie man

SMS-Zwei-Faktor-Authentifizierung ist nicht perfekt, aber Sie sollten sie trotzdem verwenden

SMS-Zwei-Faktor-Authentifizierung ist nicht perfekt, aber Sie sollten sie trotzdem verwenden

Auf der Suche nach perfekter Sicherheit ist das Perfekte der Feind des Guten. Die Leute kritisieren die SMS-basierte Zwei-Faktor-Authentifizierung nach dem Reddit-Hack, aber die Verwendung der SMS-basierten Zwei-Faktor-Authentifizierung ist immer noch viel besser, als die Zwei-Faktor-Authentifizierung überhaupt nicht zu verwenden.

Über 90 % der Gmail-Nutzer verwenden keine Zwei-Faktor-Authentifizierung

Sicherheitsexperten, die davon sprechen, dass die SMS-Verifizierung nicht gut genug ist, sind sich selbst zu weit voraus. Laut a . verwenden über 90 % der Gmail-Nutzer überhaupt keine Zwei-Faktor-Authentifizierung Präsentation Google-Ingenieur Grzegorz Milka auf der USENIX Enigma 2018. Die meisten Menschen können sich online schützen, indem sie jede Art von Zwei-Faktor-Authentifizierung für ihre wichtigen Konten aktivieren.

Stellen Sie sich das so vor. Angenommen, Sie möchten ein Schloss an Ihrer Haustür anbringen, um Ihr Zuhause zu schützen. Sicherheitsexperten argumentieren, dass die beste verfügbare Schlossart viel besser ist als billigere Schlösser. Klar, macht Sinn. Aber wenn Ihnen dieses teurere Schloss nicht zur Verfügung steht, ist es dann nicht immer noch besser, ein billigeres Schloss zu haben, als gar kein Schloss zu haben?

Ja, die App-basierte Zwei-Faktor-Authentifizierung ist besser als die SMS-basierte Authentifizierung. Aber wenn SMS nur ein Service ist, ist es immer noch besser, als ihn überhaupt nicht zu verwenden.

SMS-basierter Zweifaktor hat einige Schwächen, aber das ist nicht der Punkt. Ein Angreifer muss Zeit damit verbringen, Ihre SMS-Verifizierung zu umgehen. Und die meisten Ziele sind wahrscheinlich nicht so viel Aufwand wert.

Warum Sie eine Zwei-Faktor-Authentifizierung benötigen

Die Zwei-Faktor-Authentifizierung wird so genannt, weil Sie zwei Dinge benötigen, um auf Ihr Konto zuzugreifen: etwas, das Sie kennen (Ihr Passwort) und etwas, das Sie haben (ein zusätzlicher Sicherheitscode von Ihrem Mobilgerät oder ein physisches Token).

Wenn Sie die SMS-basierte Zwei-Faktor-Authentifizierung aktivieren, sendet der Dienst Ihrer Mobiltelefonnummer eine Textnachricht mit einem Einmalcode, wenn Sie sich von einem neuen Gerät aus anmelden. Selbst wenn jemand Ihren Benutzernamen und Ihr Passwort für dieses Konto hat, kann er sich ohne Zugriff auf Ihre Textnachrichten nicht bei Ihrem Konto anmelden.

Es gibt auch andere Arten von Zwei-Faktor-Methoden, einschließlich Apps auf Ihrem Telefon, die temporäre Sicherheitscodes und physische Sicherheitsschlüssel generieren, die Sie an Ihren Computer anschließen müssen.

Jede Art von Zwei-Faktor-Authentifizierung bietet einen enormen Schutz für wichtige Konten wie Ihre E-Mail-, Social-Media- und Bankkonten. Dies gilt insbesondere, wenn Sie Kennwörter wiederverwenden. Viele Leute verwenden Passwörter auf mehreren Websites wieder, und wenn die Passwortdatenbank einer Website durchsickert, kann dieses Passwort verwendet werden, um sich bei ihren E-Mail-Konten anzumelden. Die Zwei-Faktor-Authentifizierung würde dies im Keim ersticken.

Das bedeutet nicht, dass Sie Passwörter wiederverwenden sollten. Sie sollten Passwörter nicht wiederverwenden. Sie sollten einen guten Passwort-Manager verwenden, um starke, einzigartige Passwörter im Auge zu behalten.

Warum sagen die Leute, dass die SMS-Authentifizierung schlecht ist?

Die auf SMS basierende Zwei-Faktor-Authentifizierung wird nicht als ideal angesehen, da jemand Ihre Telefonnummer stehlen oder Ihre Textnachrichten abfangen könnte. Zum Beispiel:

  • Ein Angreifer könnte sich als Sie ausgeben und Ihre Telefonnummer bei einem Betrug mit der Portierung von Telefonnummern auf ein neues Telefon übertragen. Dies ist der wahrscheinlichste Angriff.
  • Ein Angreifer könnte für Sie bestimmte SMS-Nachrichten abfangen. Zum Beispiel könnten sie einen Mobilfunkmast in Ihrer Nähe fälschen oder eine Regierung könnte ihren Zugang zum Mobilfunknetz nutzen, um Nachrichten weiterzuleiten.

Aus diesem Grund empfehlen Experten die Verwendung einer anderen Zwei-Faktor-Methode, die von den Nationalstaaten nicht so leicht missbraucht werden kann und nicht angreifbar ist, wenn Ihr Mobilfunkanbieter Ihre Telefonnummer an jemand anderen weitergibt. Wenn Sie Ihren Code von einer App auf Ihrem Telefon oder einem physischen Sicherheitsschlüssel erhalten, den Sie einstecken, ist Ihr Zwei-Faktor nicht anfällig für Probleme mit dem Telefonnetz. Der Angreifer benötigt Ihr entsperrtes Telefon oder den physischen Sicherheitsschlüssel, mit dem Sie sich anmelden müssen.

Sicher, in einer perfekten Welt ist SMS nicht die ideale Lösung. Wir haben erklärt, warum Sicherheitsexperten die SMS-basierte zweistufige Authentifizierung nicht mögen. Aber selbst als wir diesen Fall dargelegt haben, haben wir versucht, eines klarzustellen: Die SMS-basierte Zwei-Faktor-Authentifizierung ist viel, viel besser als nichts.

Manche Leute brauchen mehr Sicherheit, als SMS bietet

Die durchschnittliche Person ist mit der SMS-basierten Authentifizierung vorerst in Ordnung. Die SMS-basierte Authentifizierung macht Angreifern eine Menge zusätzlicher Schwierigkeiten, um in Ihr Konto einzudringen, und Sie sind ihre Mühe wahrscheinlich nicht wert, wenn es andere einfachere und saftigere Ziele gibt. Die meisten Leute verwenden nicht einmal die SMS-Authentifizierung, und das Internet wäre ein viel sichererer Ort, wenn alle dies tun würden.

Personen, die wahrscheinlich von raffinierten Angreifern angegriffen werden, sollten die SMS-basierte Authentifizierung vermeiden. Wenn Sie beispielsweise Politiker, Journalist, Prominenter oder Wirtschaftsführer sind, könnten Sie ins Visier genommen werden. Wenn Sie eine Person mit Zugriff auf sensible Unternehmensdaten sind, ein Systemadministrator mit tiefem Zugriff auf sensible Systeme oder einfach nur jemand mit viel Geld auf der Bank sind, kann SMS zu riskant sein.

Aber wenn Sie die durchschnittliche Person mit einem Gmail- oder Facebook-Konto sind und niemand einen Grund hat, viel Zeit damit zu verbringen, Zugriff auf Ihre Konten zu erhalten, ist die SMS-Authentifizierung in Ordnung und Sie sollten sie unbedingt aktivieren, anstatt überhaupt nichts zu verwenden.

Sie sind nur so sicher wie das schwächste Glied

Hier ist eine weitere unglückliche Wahrheit, die jeder zu beschönigen scheint: Auch wenn Sie die SMS-basierte Zwei-Faktor-Authentifizierung für ein Konto vermeiden, ist SMS wahrscheinlich als Fallback-Methode verfügbar. Selbst wenn Sie beispielsweise mit einer App Codes generieren, um sich bei Ihrem Google-Konto anzumelden, können Sie Ihr Konto mithilfe Ihrer Telefonnummer wiederherstellen. Dies soll Sie schützen, falls Sie jemals den Zugriff auf Ihr Zwei-Faktor-Telefon oder Ihren Token verlieren.

Mit anderen Worten, bei vielen – wahrscheinlich sogar bei den meisten – Diensten können Sie mit Ihrer Telefonnummer auf Ihr Konto zugreifen, selbst wenn Sie die meiste Zeit einen von der App generierten Code oder einen physischen Sicherheitsschlüssel verwenden. Sie sind nur so sicher wie das schwächste Glied im System. Versuchen Sie, die anderen Anmeldemöglichkeiten zu überprüfen, wenn Sie nicht über Ihre normale Methode verfügen.

Um ein Google-Konto wirklich zu sperren, müssen Sie daher nicht nur die SMS-basierte zweistufige Authentifizierung vermeiden. Sie müssen sich auch anmelden Erweitertes Schutzprogramm von Google, Google wirbt für «Journalisten, Aktivisten, Wirtschaftsführer und politische Kampagnenteams». Dieses kostenlose Programm erfordert, dass Sie einen physischen Sicherheitsschlüssel verwenden, um sich anzumelden, aber es erfordert auch viel mehr Informationen, um Ihr Konto wiederherzustellen.

Bitte verwenden Sie SMS, wenn Sie 2FA gerade nicht verwenden

Wir wollen Sie nicht in einem falschen Sicherheitsgefühl wiegen: Wenn Sie wahrscheinlich von ausländischen Regierungen, Unternehmensspionen oder organisierten Kriminellen ins Visier genommen werden, sollten Sie unbedingt die SMS-basierte Zwei-Faktor-Authentifizierung vermeiden und Ihre Konten mit etwas sichererem.

Aber wenn Sie die durchschnittliche Person sind, die die Zwei-Faktor-Authentifizierung noch nicht aktiviert hat, lassen Sie sich nicht abschrecken: SMS-basierte Zwei-Faktor-Authentifizierung macht Sie viel sicherer als gar keine Zwei-Faktor-Authentifizierung. Es ist eine wichtige Grundlage für die Sicherheit.

Jeder sollte die SMS-Verifizierung verwenden, es sei denn, er verwendet etwas Besseres.

Bildnachweis: golubovystock/Shutterstock.com.

Continue Reading
Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tendencia