Der Chaos Computer Club (CCC) demonstriert nun einen bisher vernachlässigten Angriff auf 2FA-SMS: Zum Versenden der Nachrichten ist die Nutzung von Dienstleistern üblich. Diese Anbieter versenden große Mengen an SMS für viele unterschiedliche Unternehmen und Services. Sie haben dabei Einblick in die SMS. Die Sicherheit des Authentifizierungsverfahrens hängt also auch von der Sicherheit der Dienstleister ab.

IdentifyMobile, ein Anbieter von 2FA-SMS, hat die versendeten Einmalpasswörter in Echtzeit mit dem Internet geteilt. Der CCC war zufällig zur richtigen Zeit am richtigen Ort und konnte die Daten einsehen. Hierzu genügte es, die Subdomain “idmdatastore” zu raten. Neben SMS-Inhalten waren auch Rufnummern der Empfänger*innen, Absendernamen und teilweise andere Account-Informationen einsehbar.

[…]

Sicherer und sogar unabhängig vom Mobilfunknetz sind zum Beispiel Einmalpasswörter (One-time passwords, OTPs), die Nutzer*innen in einer App generieren, oder der Einsatz von Hardware-Token. Wenn diese Möglichkeiten angeboten werden, raten wir dazu, sie zu nutzen.
Und bitte beachten: Jeder zweite Faktor bleibt besser als nur einer, das Passwort.

3 points

Blöde Frage: Spricht das wirklich gegen SMS als 2FA, wenn ein Anbieter total unfähig ist? So ein Quatsch kann doch auch mit anderen Methoden auftauchen, oder?

permalink
report
reply
4 points

Bei SMS weiß man es halt schon einige Zeit, dass es prinzipiell unsicher ist. Es steht aber auch eine Einschätzung im Artikel.

permalink
report
parent
reply
1 point

Nein, es ist hier aber auch kein einzelner Anbieter.

permalink
report
parent
reply
0 points

Es kann mit sowas wie totp eben genau nicht passieren. Da muss einmal ein Geheimnis übertragen werden und danach muss kein Anbieter jedes Mal involviert sein wenn ich mich anmelden möchte

permalink
report
parent
reply

Netzkultur / Netzpolitik

!netzkultur@feddit.org

Create post

Alles rund um das Internet. Gerne auch die politische Seite zum Thema


Als Nachfolger für !netzpolitik@feddit.de


Wir sehen uns als einen selbstbestimmten Raum, außerhalb der Kontrolle kommerzieller Tech-Unternehmen.

Netiquette wird vorausgesetzt. Gepflegt wird ein respektvoller Umgang - ohne Hass, Hetze, Diskriminierung.

Die Regeln von feddit.org gelten.


Das Bild im Banner und Icon: Public Domain generated with Midjourney gefunden auf netzpolitik.org


Community stats

  • 373

    Monthly active users

  • 314

    Posts

  • 675

    Comments