Warum die telefonbasierte Authentifizierung unsicher sein kann

December 02, 2021
ImNachrichten Internet Sicherheit

Die zentralen Thesen

Hacker können telefonbasierte Multi-Faktor-Authentifizierungscodes (MFA) stehlen, sagen Experten.
Telefongesellschaften wurden dazu verleitet, Telefonnummern zu übertragen, damit Kriminelle an die Codes gelangen können.
Eine einfache und kostengünstige Möglichkeit, die Sicherheit zu erhöhen, besteht darin, die Authentifizierungs-App auf Ihrem Telefon zu verwenden.

Hände auf einer Tastatur, darüber aufgereiht Smartphone, Geldbörse und Kartenleser. — Fotograf, Basak Gurbuz Derman / Getty Images

Um sich vor Hackern zu schützen, sollten Sie keine telefonbasierten Multi-Faktor-Authentifizierungscodes (MFA) verwenden, die per SMS und Sprachanrufen gesendet werden, schreibt ein Top-Sicherheitsexperte in einer neuen Analyse.

Telefoncodes sind anfällig für das Abfangen durch Hacker, schrieb Alex Weinert, Direktor für Identitätssicherheit bei Microsoft, in a neuer Blogbeitrag. Textbasierte Codes sind besser als nichts, sagen Beobachter. Benutzer sollten jedoch die telefonbasierte Authentifizierung durch Apps und Sicherheitsschlüssel ersetzen.

„Diese Mechanismen basieren auf öffentlich geschalteten Telefonnetzen (PSTN) und sind meiner Meinung nach die unsichersten der heute verfügbaren MFA-Methoden“, schrieb er.

„Diese Kluft wird sich nur noch vergrößern, wenn die Einführung von MFA das Interesse der Angreifer erhöht, diese Methoden zu durchbrechen, und speziell entwickelte Authentifikatoren ihre Sicherheits- und Benutzerfreundlichkeitsvorteile erweitern. Planen Sie jetzt Ihren Wechsel zu einer passwortlosen starken Authentifizierung – die Authentifizierungs-App bietet eine sofortige und sich weiterentwickelnde Option."

MFA ist eine Sicherheitsmethode, bei der einem Computerbenutzer erst nach erfolgreicher Vorlage von zwei oder mehr Beweismitteln bei einem Authentifizierungsmechanismus Zugriff auf eine Website oder Anwendung gewährt wird. Diese Codes werden oft per Telefon gesendet.

Hacker geben vor, Sie zu sein

Es gibt jedoch Möglichkeiten, wie Hacker an Telefoncodes gelangen können, sagen Beobachter jedoch. In einigen Fällen wurden Telefongesellschaften dazu verleitet, Telefonnummern zu übertragen, damit Hacker die Codes erhalten können.

„Telefone sind so unsicher, dass Benutzer oft betrügerische Anrufe aus Ländern der Dritten Welt erhalten, während sie amerikanische regionale Telefonnummern anzeigen“, Matthew Rogers, CISO of Cloud-Anbieter Syntax, sagte in einem E-Mail-Interview. "Telefone sind auch Angriffen auf SIM-Swapping ausgesetzt, die MFA einfach per SMS umgehen können."

Kürzlich wurde der beliebte BBC-Radiomoderator Jeremy Vine einem Angriff zum Opfer gefallen, der dazu führte, dass sein WhatsApp-Konto eingedrungen wurde.

"Der Angriff, der Vine erfolgreich ausgetrickst hat, beginnt mit dem Erhalt einer scheinbar unerwünschten SMS-Nachricht die den Zwei-Faktor-Authentifizierungscode für ihr Konto enthält", Ray Walsh, Datenschutzexperte bei der Datenschutz-Überprüfungsseite ProPrivacy, sagte in einem E-Mail-Interview.

„Danach erhält das Opfer eine Direktnachricht von einem Kontakt, der behauptet, ihm aus Versehen einen Code geschickt zu haben. Schließlich wird das Opfer aufgefordert, dem Hacker den Code zu übermitteln, der ihm sofortigen Zugriff auf das Konto des Opfers ermöglicht."

Auch Software kann ein Problem sein. „Aufgrund von Geräteschwachstellen könnte die MFA möglicherweise von einer undichten App oder einem kompromittiertes Gerät, das dem Benutzer nicht bekannt ist", George Freeman, Lösungsberater bei der Regierung Gruppe von LexisNexis Risikolösungen, sagte in einem E-Mail-Interview.

Geben Sie Ihr Telefon noch nicht auf

Textbasierte MFA ist jedoch besser als nichts, sagen Experten. "MFA ist eines der leistungsstärksten Tools, die ein Benutzer zum Schutz seiner Konten hat", Mark Nunnikhoven, Vice President of Cloud Research bei Cybersicherheitsunternehmen Trend Micro, sagte in einem E-Mail-Interview.

„Es sollte nach Möglichkeit aktiviert werden. Wenn Sie die Wahl haben, verwenden Sie eine Authentifizierungs-App auf Ihrem Smartphone – aber am Ende stellen Sie einfach sicher, dass MFA in jeder Form aktiviert ist."

Eine einfache und kostengünstige Möglichkeit, die Sicherheit zu erhöhen, ist die Verwendung der Authentifikator-App auf Ihrem Telefon, Peter Robert, Mitbegründer und CEO von IT-Unternehmen Expert Computer Solutions, sagte in einem E-Mail-Interview.

„Wenn Sie das Budget haben und die Sicherheit als kritisch erachten, empfehle ich Ihnen, hardwarebasierte MFA-Schlüssel zu bewerten“, fügte er hinzu. "Für Unternehmen und Einzelpersonen, die sich um die Sicherheit sorgen, würde ich auch ein Dark Web empfehlen Überwachungsdienst, um Sie darüber zu informieren, ob personenbezogene Daten über Sie verfügbar sind und im Dunkeln verkauft werden können Netz."

Nahaufnahme eines Fingers auf einem Fingerabdruckscanner. — ehrlichmike / Getty Images

Für mehr Unmögliche Mission-style-Ansatz, der neue Standard FIDO2 mit Webautn verwendet biometrische Authentifizierung, sagt Freeman. "Der Benutzer stellt eine Verbindung zu einer Finanzseite her, gibt einen Benutzernamen ein, die Website kontaktiert [das] mobile Gerät des Benutzers, eine sichere App auf [dem] Telefon fordert den Benutzer dann zur Eingabe [seiner] Gesichts-ID oder seines Fingerabdrucks auf. Wenn es erfolgreich ist, wird die Websitzung authentifiziert", sagte er.

Bei so vielen möglichen Bedrohungen ist es möglicherweise an der Zeit, nach sichereren Möglichkeiten zu suchen, sich bei Websites anzumelden, die personenbezogene Daten speichern. Hacker könnten im Internet lauern und nur darauf warten, Ihr Passwort abzufangen.