Jonathan Stutz - stock.adobe.com
Problematische 2-Faktor-Authentifizierung per SMS
Von der 2-Faktor-Authentifizierung per SMS wird schon länger abgeraten. Forschende vom CCC hatten nun Zugriff auf rund 200 Millionen solcher SMS von über 200 Unternehmen.
Eine 2-Faktor-Authentifizierung bei der Anwendern das Einmalpasswort per SMS zugestellt wird, gilt schon länger als nicht empfehlenswert und Sicherheitsexperten raten davon ab. Angreifer versuchen auf unterschiedlichen Wegen wie beispielsweise dem SIM-Swapping, bei denen die SMS auch auf den Geräten der Angreifer landen, diese Methode zu unterlaufen. Dennoch bietet die 2-Faktor-Authentifizierung per SMS immer noch eine höhere Sicherheit als eine Methode, die auf einen zweiten Faktor verzichtet.
Sicherheitsforschende vom Chaos Computer Club haben nun eine andere Art des Angriffs auf die 2-Faktor-Authentifizierung per SMS demonstriert. Und zwar würden die Unternehmen für die Versendung der entsprechenden Mitteilungen einen Dienstleister verwenden. Und diese Dienstleister bieten dies als Service und versenden die SMS für eine Vielzahl von Unternehmen. Dabei hätten sie Einblick in die SMS. Somit würde die Sicherheit des ganzen Verfahrens von der Sicherheit des Unternehmens abhängen, dass sich um den Versand der SMS kümmert.
Man sei seitens des CCC „zufällig zur rechten Zeit am rechten Ort gewesen“ als ein Anbieter von 2FA-SMS die Einmalpasswörter in Echtzeit mit dem Internet geteilt habe, so die Mitteilung des Chaos Computer Club. Der CCC habe die Daten einsehen können. Neben den SMS-Inhalten habe man auch die Rufnummern der Empfänger, Absenderinformationen und teilweise andere Account-Informationen gesehen. Es habe sich insgesamt um 198 Millionen SMS von mehr als 200 betroffenen Unternehmen gehandelt.
Für einen Missbrauch der SMS-Codes hätten die Angreifer in der Regel mindestens noch das Passwort benötigt. Es hätten sich aber auch einige „1-Klick-Login“ in den Daten befunden. Durch Einsehen des Live-Feeds seien aber auch andere Missbrauchsmöglichkeiten gegeben.
Geht es um die Überstellung von Einmalpasswörtern (OTP, One Time Passwords) dann empfehlen sich entsprechende Authenticator-Apps oder Hardwarelösungen. Der Chaos Computer Club betont, dass aber jeder zweite Faktor besser sei, als nur einer.