Zwei-Faktor-Authentifizierung: Das Perfekte ist nicht der Feind des Guten

Originalartikel von Jonathan Leopando, Technical Communications

Kürzlich berichteten viele technische Medien darüber, dass das National Institute of Science and Technology (NIST) in den USA die Zwei-Faktor-Authentifizierung (2FA) über SMS-Nachrichten in künftigen Standards ablehnen wolle. Viele der Berichte nannten als Grund die Aussage, dass die Technik nicht sicher sei und die Nutzer von dieser Art der Authentifizierung absehen sollten.

Folgendes erklärte das NIST tatsächlich:

Soll die OOB (Out of Band)-Überprüfung mithilfe einer SMS-Nachricht in einem öffentlichen Mobilfunknetzwerk erfolgen, so SOLLTE der Verifier prüfen, dass die benutzte vorregistrierte Telefonnummer tatsächlich einem mobilen Netzwerk zugeordnet ist und nicht einem VoIP (oder anderen softwarebasierten) Dienst. Danach sendet er die SMS an die vorregistrierte Telefonnummer. Es SOLLTE NICHT möglich sein, die vorregistrierte Nummer ohne gleichzeitige Zwei-Faktor-Authentifizierung zu ändern. OOB mithilfe von SMS wird abgelehnt und in künftigen Releases dieses Leitfadens nicht mehr erlaubt sein.

Das NIST spricht hier über ein bestimmtes Problem: wie Textnachrichten abgefangen und nicht an ein Handy geschickt werden, wenn die Nummer an einen VoIP (oder ähnlichen) Dienst gebunden ist. Dies ist natürlich nicht das einzige Sicherheitsproblem mit SMS-Nachrichten. Sie können von Android-Schadsoftware gestohlen werden, aber auch über Social Engineering-Taktiken kann entweder der Handy-Provider angegriffen werden (um die Original-SIM-Karte zu deaktivieren und eine andere stattdessen zu liefern) oder die Websites (um 2FA zu deaktivieren).

Trotz aller Probleme ist etwas 2FA-Authentifizierung besser als gar keine. Es gibt immer noch eine Vielzahl Systeme in kritischen Branchen wie ICS oder dem Gesundheitswesen, wo 2FA nicht verwendet wird, obwohl dies wichtig wäre.

In der Sicherheitsbranche gilt häufig: Das Perfekte ist der Feind des Guten. So auch bei 2FA. Zwei-Faktor-Authentifizierung über Textnachrichten, ist trotz aller Fehler immer noch eine Verbesserung zum normalen Nutzername/Kennwort-System. Zudem sind die Hürden wie Anschaffungskosten, Benutzbarkeit und Hardware-Anforderungen niedriger als bei sichereren 2FA-Systemen.

Für Endanwender empfiehlt es sich, über dort wo 2FA angeboten wird, dies auch zu nutzen – ob Online-Banking, soziale Medien oder andere Websites. Auch Systemadministratoren ist zu raten, SMS als Methode bei der 2FA nicht auszuschließen. Für Systeme, die ein Maximum an Schutz benötigen, ist die Methode jedoch nicht geeignet.

Natürlich sollten auch sicherere Systeme wie Hardware Token oder App-Authenticators verwendet werden, doch nicht als automatischer Ersatz für Textnachrichten.

Zusätzliche Einsichten von Martin Roesler und Robert McArdle

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.