Warum die Zwei-Faktor-Authentifizierung per SMS viel zu unsicher ist

Es gab einen Aufschrei der Regierung, als im Dezember eine Art Daten-Adventskalender mit geklauten Informationen durch Twitter sickerte. Das alles passierte von der Öffentlichkeit unbemerkt, bis der Youtuber Simon Unge darauf aufmerksam wurde, der selber gehackt worden war. Eine bislang unbekannte Person hackte bekannte Persönlichkeiten und veröffentlichte ihre Daten. So bekam der ebenfalls betroffene SPD-Politiker Martin Schulz Anrufe, SMS und Whatsapp-Nachrichten an seine geheime Telefonnummer.

Dabei sind die geklauten Daten ganz unterschiedlicher Natur: Mal sind es nur allgemeine Adressangaben oder Telefonnummern, teilweise sind auch Chatverläufe, E-Mails und manchmal Fotos, Video-Dateien oder PDF-Dokumente darunter. Es wirkt, als habe der Täter oder die Tätergruppe die Informationen über einen längeren Zeitraum gesammelt, um sie dann gebündelt zu veröffentlichen.

Da unter den Betroffenen eben auch Politiker waren, war die Bestürzung natürlich umso größer. Plötzlich waren Artikel und Tipps zum Schutz vor Hackerangriffen wieder stark gefragt. In diesen stehen dann die üblichen Tipps: Klicke nicht auf Links und Anhänge in obskuren Mails, verwende starke, schwer zu knackende Passwörter und schalte am besten überall die Zwei-Faktor-Authentifizierung ein. Dabei muss man zusätzlich noch eine immer wechselnde Nummer beim Login eingeben, die einem beispielsweise per SMS zugesendet wird.

Dieser Weg  erschwert dem Hacker zwar seine Arbeit – er ist jedoch nicht unhackbar. Insbesondere SMS als Weg für die Zwei-Faktor-Authentifizierung haben sich als unsicher erwiesen und das liegt am Mobilfunknetz, denn die Nachrichten werden darin unverschlüsselt übertragen. So gibt es also mehrere Sicherheitslücken und Tools zum Ausbeuten dieser Lücken kursieren frei im Internet. Das ist auch vielen großen Unternehmen klar und so greifen sie immer öfter auf separate Authentifizierung-Apps zurück, beispielsweise Google, Microsoft oder Valve.

Doch man kann sein Handy auch mal verlieren und so wird man automatisch aus allen Accounts rausgeschmissen, da man seine SIM-Karte dann ja höchstwahrscheinlich auch nicht mehr hat. Hier tut sich jedoch gleich die nächste Sicherheitslücke auf, denn natürlich lässt sich die Zwei-Faktor-Authentifizierung zurücksetzen – gegen die Antwort auf eine persönliche Frage á la Mädchenname der Mutter. Genau diese Methode soll der Täter mit dem Daten-Adventskalender auch angewandt haben. Einfach die Authentifizierung zurückzusetzen versuchen die Antworten zu erraten – hat in diesem Fall wohl funktioniert.

Die Zwei-Faktor-Authentifizierung ist deshalb aber nicht gleich zu verteufeln, sie ist besser als nix. Eine sicherere Alternative findet man im FIDO-Standard, der beispielsweise im Titan-Sicherheitsschlüssel von Google zu finden ist. Dabei handelt es sich um eine Art USB-Schlüssel mit einem Code, der für das Login verwendet wird. Bei klassischen PCs steckt man ihn in einen USB-Port, mit Tablets und Smartphones kann er sich via Bluetooth verbinden.

via: t3n

Powered by WPeMatico

Bitcoin GPU Miner

AdSense