Der Chaos Computer Club (CCC) demonstriert nun einen bisher vernachlässigten Angriff auf 2FA-SMS: Zum Versenden der Nachrichten ist die Nutzung von Dienstleistern üblich. Diese Anbieter versenden große Mengen an SMS für viele unterschiedliche Unternehmen und Services. Sie haben dabei Einblick in die SMS. Die Sicherheit des Authentifizierungsverfahrens hängt also auch von der Sicherheit der Dienstleister ab.
IdentifyMobile, ein Anbieter von 2FA-SMS, hat die versendeten Einmalpasswörter in Echtzeit mit dem Internet geteilt. Der CCC war zufällig zur richtigen Zeit am richtigen Ort und konnte die Daten einsehen. Hierzu genügte es, die Subdomain “idmdatastore” zu raten. Neben SMS-Inhalten waren auch Rufnummern der Empfänger*innen, Absendernamen und teilweise andere Account-Informationen einsehbar.
[…]
Sicherer und sogar unabhängig vom Mobilfunknetz sind zum Beispiel Einmalpasswörter (One-time passwords, OTPs), die Nutzer*innen in einer App generieren, oder der Einsatz von Hardware-Token. Wenn diese Möglichkeiten angeboten werden, raten wir dazu, sie zu nutzen.
Und bitte beachten: Jeder zweite Faktor bleibt besser als nur einer, das Passwort.
Blöde Frage: Spricht das wirklich gegen SMS als 2FA, wenn ein Anbieter total unfähig ist? So ein Quatsch kann doch auch mit anderen Methoden auftauchen, oder?