[Prince]

Zitat:

Viele Online-Plattformen sind gerade erst richtig dabei, die Nutzer von der Verwendung einer Zwei-Wege-Authentifizierung per SMS überzeugen zu wollen, da wird das Verfahren von offizieller Seite auch schon auf das Abstellgleis geschoben. Denn es ist schlicht zu unsicher.

Der Versand von Login-Kennungen, Tokens oder anderen Security-Daten per SMS sollte schrittweise wieder abgeschafft werden, lautet die Empfehlung des neuesten Leitfadens zur Ausgestaltung von Authentifizierungssystemen, der regelmäßig vom National Institute for Standards and Technology (NIST) der USA veröffentlicht wird. Dieser dient privatwirtschaftlichen Unternehmen oft als Richtschnur und ist für die Online-Angebote von US-Behörden zumindest inoffiziell eine Handlungsanweisung.

In der aktuellen Fassung des Leitfadens wird die Authentifizerung per SMS als nicht mehr empfohlen gekennzeichnet. Damit stellt diese Version eine Übergangsregelung dar und es ist davon auszugehen, dass das Verfahren in Kürze generell als unsicher eingestuft wird. Schon jetzt ist die Nutzung der Textnachrichten an Bedingungen geknüpft, damit das Verfahren zumindest als halbwegs sicher angesehen werden kann.

Der Diensteanbieter müsse beispielsweise sicherstellen, dass die Telefonnummer, an die die SMS geschickt werden soll, mit einem herkömmlichen Mobiltelefon und ganz besonders nicht mit einem VoIP-Service verbunden ist. Denn letzteres bietet schlicht zu große Angriffspunkte.

Verzahnung von PC & Phone: Bequem, aber unsicher
Unter diese Definition dürften nicht nur VoIP-Dienste im engeren Sinne fallen, sondern auch die Features, mit denen die Anbieter der großen Smartphone-Plattformen ein geräteübergreifendes Arbeiten möglich machen. Bei Apple sind beispielsweise Macs und iPhones so miteinander verzahnt, dass auch die für das Mobiltelefon bestimmten SMS parallel in der Nachrichten-Anwendung auf dem Rechner aufschlagen. Für den Nutzer ist das bequem, doch der zweite Kanal, der die Zwei-Wege-Authentifizierung sicherer machen soll, wird so komplett ausgehebelt. Eine Banking-Malware könnte so beispielsweise TANs direkt auf dem Computer ausspionieren, auf dem sie gerade erst die Zugangsdaten zum Online-Banking abgegriffen hat.

Seitens des NIST empfiehlt man stattdessen den Einsatz von Tokens oder kryptografischen Authentifizierungs-Modulen, die komplett auf ein zweites Gerät beschränkt sind. Das kann auch in Form einer entsprechenden Smartphone-App erfolgen. Auch hier bestünden durchaus Risiken - etwa bei einem Diebstahl des fraglichen Telefons, doch seien diese im hinnehmbaren Rahmen und immer noch wesentlich sicherer als die SMS-Methode.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[dieterthehaack]

Alternative Idee: Diesen ganzen Onlinemist nicht mehr benutzen? Heute hat mich Google wieder mit einer Hackerwarnung genervt, weil der Lokalisierungsdienst einen Loginversuch von ganz weit weg gesehen hat. Wenn die einem wenigstens deutlichere Einzelheiten nennen würden, aber so bleibt bei Noobs nur Verunsicherung.

Ein separater Sicherheitsschlüssel wie meine Codegeneratorkarte von Paypal, für alle Dienste im Netz, ist eher nicht durchsetzbar.