Zwei-Faktor-Authentifizierung
Einfach ist nicht gleich sicher
Fortsetzung des Artikels von Teil 1
Sie haben Post: SMS-Token
Es überrascht daher wenig, dass sich innerhalb der 2FA-Varianten insbesondere SMS-Token noch der größten Beliebtheit erfreuen. Die Gründe dafür sind so simpel wie nachvollziehbar. Einen zusätzlichen Authentifizierungscode über das Smartphone zu erhalten ist bequem, einfach zu implementieren und günstig. SMS kommen überall an und stellen nur rudimentäre Anforderungen an Bandbreite und Qualität des jeweiligen Funknetzes. Der Empfang ist dabei unabhängig von Betriebssystem, Messenger-Plattform, Hardwarehersteller oder Service Provider. In der Regel erhalten Nutzer so innerhalb von wenigen Sekunden einen Code für ihr Login. Und schließlich befindet sich das Smartphone heute meist immer in Reichweite seines Nutzers, wird häufig zur Hand genommen und altersunabhängig genutzt – vom Digital Native bis zum Babyboomer.
Bei SMS-Token bestehen die für 2FA nötigen Authentifizierungsfaktoren aus dem Wissensfaktor („etwas, das der Nutzer weiß“, zum Beispiel ein Passwort) und dem Besitzfaktor („etwas, was der Nutzer besitzt“, zum Beispiel sein Smartphone). Der Workflow bei der Authentifizierung über SMS-Token ist wie folgt: Person A meldet sich bei einem Online-Dienst mit ihrem Passwort an, worauf ein Zufallscode (OTP) generiert wird, der an die hinterlegte Mobiltelefonnummer gesendet wird. Der Nutzer gibt dann den Code aus der SMS in die sekundäre Anmeldemaske ein und erhält Zugriff auf sein Konto.
SIM-Karten und Phishing-Seiten
Angreifbar wird SMS-2FA vor allem auf der Seite der Telefondienstleister. Cyberkriminelle sind äußerst kreativ, wenn es darum geht, sich bei Mobilfunkanbietern als Kunde auszugeben und für eine bestehende Telefonnummer eine neue SIM-Karte zu aktivieren, um zukünftig alle Anrufe und Textnachrichten abzufangen (SIM-Swap). Telefondienstleister verfügen zwar über eigene Sicherheitsmechanismen und versuchen die Identität bei solchen Anfragen zu verifizieren. Doch lassen sich abgefragte Informationen wie Adresse oder Geburtsdatum heute leicht ausspionieren beziehungsweise sind über Datenleaks bereits öffentlich im Netz zugänglich. Beim SIM-Cloning brauchen die Hacker nur kurzzeitigen Zugriff auf die SIM-Karte eines Opfers, um die Chipkarte zu kopieren und für eigene Zwecke zu nutzen, oft ohne dass der legitime Nutzer den Missbrauch bemerkt. Auch beim SIM-Hijacking nutzen Kriminelle Sicherheitslücken im Telefonsystem aus, um an die Handynummer ihrer Opfer zu gelangen.
Eine weitere Gefahr stellen auch Phishing-Seiten dar, die täuschend echt legitime Online-Dienste wie Google, Facebook oder Yahoo nachahmen. Gibt der getäuschte Anwender dort seine Anmeldedaten ein, werden diese abgefangen und für weitere Angriffe genutzt. Selbst SMS-Token können wiederverwendet werden (Replay-Angriff), wenn sie im Rahmen einer solcher Social-Engineering-Kampagne an einen bösartigen Server gesendet werden.
- Einfach ist nicht gleich sicher
- Sie haben Post: SMS-Token
- SS7-Hijacking zum Abfangen von SMS-Nachrichten
Lesen Sie mehr zum Thema
