Die Zwei-Faktor-SMS-Authentifizierung schützt Sie nicht, wenn Hacker Ihre Nachrichten abfangen können

SMS 2FA

Der Einfachheit halber wird von Experten häufig die Zwei-Faktor-Authentifizierung (2FA) als ein System beschrieben, mit dem Sie sich nur dann bei Ihrem Konto anmelden können, wenn Sie etwas bereitstellen, das Sie wissen und das Sie auch haben .

Das, was Sie wissen, ist offensichtlich - die richtige Kombination aus Benutzername und Passwort. Das , was Sie aber haben, ist eine andere Geschichte. Mit einigen Ausnahmen stellen Sie nicht wirklich etwas zur Verfügung, das Sie mit Ihnen haben. Sie geben in der Regel einen temporären Code, der irgendwie auf einem Gerät angezeigt Sie haben. Und welches Gerät hast du immer dabei? Das stimmt, dein Handy.

SMS und Zwei-Faktor-Authentifizierung

Das Senden eines SMS mit dem temporären Passcode an Ihr Mobiltelefon ist eine naheliegende Lösung. Es ist schnell, es ist günstig und für eine Weile gab es keine anderen Alternativen. Bis heute gibt es zahlreiche Online-Dienste, die diese Art der Zwei-Faktor-Authentifizierung anbieten, und viele Leute nutzen sie, weil sie der Meinung sind, dass dies die vernünftigste Sache der Welt ist.

Sicherheitsspezialisten hatten jedoch eine Weile ihre Zweifel. Die Sache ist, wenn sie ihre Bedenken äußern, werden sie oft dafür kritisiert, übermäßig paranoid zu sein, und es muss gesagt werden, dass die Szenarien, die einige von ihnen beschreiben, von Zeit zu Zeit nicht sehr plausibel sind, insbesondere was regelmäßige Benutzer betrifft . Im Fall von SMS und Zwei-Faktor-Authentifizierung gründen sich die Befürchtungen jedoch auf kalte, harte Fakten über die betreffende Technologie und sollten nicht leichtfertig abgetan werden.

SS7 - die alte Technologie, mit der wir immer noch SMS senden und empfangen

Das Signalisierungssystem Nr. 7 (SS7) ist eine Sammlung von Protokollen, mit denen wir unter anderem seit Erscheinen der ersten Mobiltelefone Textnachrichten übertragen. Die eigentlichen Protokolle wurden bereits 1975 entwickelt und wie jede Technologie, die älter als vierzig Jahre ist, haben auch sie einen oder zwei Nachteile.

Unter Sicherheitsaspekten waren die Dinge besonders besorgniserregend, insbesondere in den letzten zehn Jahren. Experten sprechen seit 2008 über SS7-Schwachstellen, wobei die ersten Schwachstellen das Aufspüren von Opfern ermöglichen und spätere Entdeckungen dazu führen, dass Gauner Anrufe und Nachrichten weiterleiten und abfangen. Theoretisch sollten nur Telekommunikationsanbieter Zugang zu SS7-Netzen haben, aber in Wirklichkeit kann jeder in die unterirdischen Märkte gehen und Tools kaufen, mit denen er den Informationsfluss überblicken kann.

Sobald die ersten Sicherheitslücken gefunden wurden, erklärten Experten SS7 für unzureichend, um die Privatsphäre der Benutzer zu schützen, und sagten, dass etwas Moderneres es ersetzen sollte. Offensichtlich waren Telekommunikationsanbieter jedoch der Meinung, dass die Bedrohung nicht so ernst ist, und die Anrufe der Sicherheitsgemeinschaft wurden ignoriert. Im Jahr 2017 passierte das Unvermeidliche.

Die deutsche Niederlassung von O2-Telefonica, einem europäischen Mobilfunkanbieter, gab zu, dass einige seiner Kunden ihre Bankkonten geleert haben, nachdem Kriminelle einen Fehler im SS7-Netz ausgenutzt hatten. Zunächst verwendeten die Hacker Social Engineering, um die Opfer dazu zu bringen, Malware auf ihren Computern zu installieren. Mit gestohlenen Benutzernamen, Passwörtern und Telefonnummern bewaffnet, versuchten die Gauner mitten in der Nacht, sich in die Konten der Benutzer einzuloggen. Dann haben sie die SMS mit den Zwei-Faktor-Authentifizierungscodes abgefangen und das Geld erfolgreich abgezogen.

In der Folge des Vorfalls drängten immer mehr Menschen auf eine neuere Technologie, um SS7 zu ersetzen. Fakt ist jedoch, dass wir momentan einfach keine Alternative haben. Dies, zusammen mit der Gefahr des SIM-Austauschs , macht SMS als Medium für die Übertragung von 2FA-Codes weniger als perfekt. Bedeutet dies, dass Sie unter keinen Umständen die SMS-Zwei-Faktor-Authentifizierung verwenden sollten?

SMS-Zwei-Faktor-Authentifizierung ist besser als keine Zwei-Faktor-Authentifizierung

Die SMS hat, besonders wenn sie für etwas verwendet wird, das so empfindlich ist wie 2FA-Codes, ihre Fehler. Es muss jedoch gesagt werden, dass einige Leute ein bisschen mit den Warnungen mitgerissen werden. In der Tat sind SS7-Angriffe nicht nur eine theoretische Möglichkeit, sondern eine Tatsache, wie Kunden von O2-Telefonica bezeugen können. Diese Art von Verbrechen kann jedoch nur von hoch entwickelten Hacking-Gruppen begangen werden, die sowohl hochqualifiziert als auch hochmotiviert sind. Und entgegen der landläufigen Meinung gibt es nicht so viele. Die meisten Cyberkriminellen, die Benutzer ausbeuten, verfügen weder über das Wissen noch die Ressourcen, um einen solchen Angriff abzuwehren. Gleiches gilt für den SIM-Austausch.

Und auf jeden Fall erschweren Sie durch die Aktivierung der Zwei-Faktor-Authentifizierung ihr Leben, selbst wenn sie die Fähigkeit besitzen, Textnachrichten abzufangen. Das ist immer gut so.

Sie sollten inzwischen wissen, dass es einige Alternativen gibt. Zwei-Faktor-Authentifizierungs-Apps wie Google Authenticator generieren ihre Codes lokal, sodass Gauner sie nicht abfangen können. Und wenn Sie noch sicherer sein wollen, können Sie immer betrachten U2F Authentifizierungs - Token .

Auch diese Optionen sind nicht fehlerfrei, aber besonders wenn Sie wichtige Dinge wie Ihre E-Mail-Adresse oder Ihr Online-Banking-Konto schützen, sind sie viel besser als SMS-Nachrichten. Überprüfen Sie die 2FA-Optionen für alle Dienste, die Sie verwenden, und stellen Sie sicher, dass Sie etwas Sichereres als Textnachrichten auswählen können. Auch wenn SMS die einzige Option sind, sollten Sie sicherstellen, dass 2FA aktiviert ist.

October 4, 2019
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.