Connect with us

Wie man

Warum Sie SMS nicht für die Zwei-Faktor-Authentifizierung verwenden sollten (und was Sie stattdessen verwenden sollten)

Warum Sie SMS nicht für die Zwei-Faktor-Authentifizierung verwenden sollten (und was Sie stattdessen verwenden sollten)

Sicherheitsexperten empfehlen die Verwendung der Zwei-Faktor-Authentifizierung, um Ihre Online-Konten nach Möglichkeit zu sichern. Viele Dienste verwenden standardmäßig die SMS-Überprüfung und senden Codes per SMS an Ihr Telefon, wenn Sie versuchen, sich anzumelden. SMS-Nachrichten weisen jedoch viele Sicherheitsprobleme auf und sind die am wenigsten sichere Option für die Zwei-Faktor-Authentifizierung.

Das Wichtigste zuerst: SMS ist immer noch besser als gar keine Zwei-Faktor-Authentifizierung!

Während wir hier den Fall gegen SMS darlegen, ist es wichtig, dass wir zunächst eines klarstellen: Die Verwendung von SMS ist besser, als überhaupt keine Zwei-Faktor-Authentifizierung zu verwenden.

Wenn Sie keine Zwei-Faktor-Authentifizierung verwenden, benötigt jemand nur Ihr Passwort, um sich in Ihrem Konto anzumelden. Wenn Sie die Zwei-Faktor-Authentifizierung mit SMS verwenden, muss jemand sowohl Ihr Passwort erwerben als auch Zugriff auf Ihre Textnachrichten erhalten, um Zugriff auf Ihr Konto zu erhalten. SMS ist viel sicherer als gar nichts.

Wenn SMS Ihre einzige Option ist, verwenden Sie bitte SMS. Wenn Sie jedoch erfahren möchten, warum Sicherheitsexperten das Vermeiden von SMS empfehlen und was wir stattdessen empfehlen, lesen Sie weiter.

Mit SIM-Swaps können Angreifer Ihre Telefonnummer stehlen

So funktioniert die SMS-Überprüfung: Wenn Sie versuchen, sich anzumelden, sendet der Dienst eine Textnachricht an die Mobiltelefonnummer, die Sie zuvor angegeben haben. Sie erhalten diesen Code auf Ihrem Telefon und geben ihn ein, um sich anzumelden. Dieser Code ist nur für eine einmalige Verwendung geeignet.

Es klingt ziemlich sicher. Schließlich haben nur Sie Ihre Telefonnummer und jemand muss Ihr Telefon haben, um den Code zu sehen – richtig? Unglücklicherweise nicht.

Wenn jemand Ihre Telefonnummer kennt und auf persönliche Informationen wie die letzten vier Ziffern Ihrer Sozialversicherungsnummer zugreifen kann – dies ist leider dank der vielen Unternehmen und Regierungsbehörden, die Kundendaten durchgesickert sind, leicht zu finden -, kann er sich an Ihr Telefon wenden Unternehmen und verschieben Sie Ihre Telefonnummer auf ein neues Telefon. Dies ist als „SIM-Tausch“Und ist der gleiche Vorgang, den Sie ausführen, wenn Sie ein neues Gerät kaufen und Ihre Telefonnummer darauf verschieben. Die Person sagt, dass sie Sie sind, gibt die persönlichen Daten an und Ihre Mobilfunkgesellschaft richtet ihr Telefon mit Ihrer Telefonnummer ein. Sie erhalten die SMS-Nachrichtencodes auf Ihrem Telefon an Ihre Telefonnummer gesendet.

Wir haben Berichte darüber gesehen im Vereinigten Königreich, wo Angreifer die Telefonnummer eines Opfers gestohlen und damit Zugang zum Bankkonto des Opfers erhalten haben. New York State hat auch gewarnt über diesen Betrug.

Im Kern handelt es sich um einen Social-Engineering-Angriff, bei dem es darum geht, Ihr Mobilfunkunternehmen auszutricksen. Aber Ihre Mobilfunkgesellschaft sollte überhaupt nicht in der Lage sein, jemandem Zugriff auf Ihre Sicherheitscodes zu gewähren!

SMS-Nachrichten können auf viele Arten abgefangen werden

Es ist auch möglich, SMS-Nachrichten zu verfolgen. Politische Dissidenten und Journalisten in repressiven Ländern werden vorsichtig sein wollen, da die Regierung SMS-Nachrichten entführen könnte, wenn sie über das Telefonnetz gesendet werden. Dies ist bereits in geschehen IranBerichten zufolge haben iranische Hacker eine Reihe von Telegramm-Messenger-Konten kompromittiert, indem sie die SMS-Nachrichten abgefangen haben, die den Zugriff auf diese Konten ermöglichten.

Angreifer haben auch missbraucht Probleme in SS7, das Verbindungssystem, das zum Roaming verwendet wird, um SMS-Nachrichten im Netzwerk abzufangen und an eine andere Stelle weiterzuleiten. Es gibt viele andere Möglichkeiten, wie Nachrichten abgefangen werden können, unter anderem durch die Verwendung gefälschter Handytürme. SMS-Nachrichten waren nicht auf Sicherheit ausgelegt und sollten nicht dafür verwendet werden.

Mit anderen Worten, ein erfahrener Angreifer mit einigen persönlichen Informationen könnte Ihre Telefonnummer entführen, um Zugriff auf Ihre Online-Konten zu erhalten, und diese Konten dann beispielsweise verwenden, um zu versuchen, Ihre Bankkonten zu entleeren. Deshalb ist das National Institute of Standards and Technology nicht mehr empfehlen die Verwendung von SMS-Nachrichten für die Zwei-Faktor-Authentifizierung.

Die Alternative: Generieren Sie Codes auf Ihrem Gerät

Ein Zwei-Faktor-Authentifizierungsschema, das nicht auf SMS basiert, ist überlegen, da die Mobilfunkgesellschaft keinem anderen Benutzer Zugriff auf Ihre Codes gewähren kann. Die beliebteste Option hierfür ist eine App wie Google Authenticator. Wir empfehlen jedoch Authy, da es alles tut, was Google Authenticator tut, und vieles mehr.

Apps wie diese generieren Codes auf Ihrem Gerät. Selbst wenn ein Angreifer Ihre Mobilfunkgesellschaft dazu verleitet hätte, Ihre Telefonnummer auf ihr Telefon zu verschieben, könnte er Ihre Sicherheitscodes nicht erhalten. Die Daten, die zum Generieren dieser Codes benötigt werden, bleiben sicher auf Ihrem Telefon.

Sie müssen auch keine Codes verwenden. Dienste wie Twitter, Google und Microsoft testen die app-basierte Zwei-Faktor-Authentifizierung, mit der Sie sich auf einem anderen Gerät anmelden können, indem Sie die Anmeldung in ihrer App auf Ihrem Telefon autorisieren.

Es gibt auch physische Hardware-Token, die Sie verwenden können. Große Unternehmen wie Google und Dropbox haben bereits einen neuen Standard für hardwarebasierte Zwei-Faktor-Authentifizierungstoken namens U2F implementiert. Diese sind alle sicherer, als sich auf Ihre Mobilfunkgesellschaft und das veraltete Telefonnetz zu verlassen.

Vermeiden Sie nach Möglichkeit SMS für die Zwei-Faktor-Authentifizierung. Es ist besser als nichts und scheint praktisch zu sein, aber es ist normalerweise das am wenigsten sichere Zwei-Faktor-Authentifizierungsschema, das Sie auswählen können.

Leider zwingen einige Dienste Sie zur Verwendung von SMS. Wenn Sie sich darüber Sorgen machen, können Sie eine Google Voice-Telefonnummer erstellen und diese an Dienste weitergeben, für die eine SMS-Authentifizierung erforderlich ist. Sie können sich dann in Ihrem Google-Konto anmelden, das Sie mit einer sichereren Zwei-Faktor-Authentifizierungsmethode schützen können, und die sicheren Nachrichten auf der Google Voice-Website oder -App anzeigen. Leiten Sie Nachrichten von Google Voice nur nicht an Ihre tatsächliche Handynummer weiter.

Continue Reading
Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tendencia