Der Chaos Computer Club (CCC) demonstriert nun einen bisher vernachlässigten Angriff auf 2FA-SMS: Zum Versenden der Nachrichten ist die Nutzung von Dienstleistern üblich. Diese Anbieter versenden große Mengen an SMS für viele unterschiedliche Unternehmen und Services. Sie haben dabei Einblick in die SMS. Die Sicherheit des Authentifizierungsverfahrens hängt also auch von der Sicherheit der Dienstleister ab.

IdentifyMobile, ein Anbieter von 2FA-SMS, hat die versendeten Einmalpasswörter in Echtzeit mit dem Internet geteilt. Der CCC war zufällig zur richtigen Zeit am richtigen Ort und konnte die Daten einsehen. Hierzu genügte es, die Subdomain “idmdatastore” zu raten. Neben SMS-Inhalten waren auch Rufnummern der Empfänger*innen, Absendernamen und teilweise andere Account-Informationen einsehbar.

[…]

Sicherer und sogar unabhängig vom Mobilfunknetz sind zum Beispiel Einmalpasswörter (One-time passwords, OTPs), die Nutzer*innen in einer App generieren, oder der Einsatz von Hardware-Token. Wenn diese Möglichkeiten angeboten werden, raten wir dazu, sie zu nutzen.
Und bitte beachten: Jeder zweite Faktor bleibt besser als nur einer, das Passwort.

  • mettwurstkaninchen
    link
    fedilink
    arrow-up
    3
    ·
    5 months ago

    Blöde Frage: Spricht das wirklich gegen SMS als 2FA, wenn ein Anbieter total unfähig ist? So ein Quatsch kann doch auch mit anderen Methoden auftauchen, oder?

    • Der aus AuxOPM
      link
      fedilink
      arrow-up
      4
      ·
      5 months ago

      Bei SMS weiß man es halt schon einige Zeit, dass es prinzipiell unsicher ist. Es steht aber auch eine Einschätzung im Artikel.

    • Gladaed
      link
      fedilink
      arrow-up
      1
      ·
      5 months ago

      Nein, es ist hier aber auch kein einzelner Anbieter.

    • Killing_Spark@feddit.de
      link
      fedilink
      arrow-up
      1
      arrow-down
      1
      ·
      5 months ago

      Es kann mit sowas wie totp eben genau nicht passieren. Da muss einmal ein Geheimnis übertragen werden und danach muss kein Anbieter jedes Mal involviert sein wenn ich mich anmelden möchte