igor - Fotolia

F

Hat die SMS bei Zwei-Faktor-Authentifizierungen ausgedient?

Das amerikanische Standardinstitut NIST rät von der Nutzung von SMS bei Zwei-Faktor-Authentifizierung ab. Sollten Unternehmen nachziehen?

Das National Institute of Standards and Technology, kurz NIST, ist in den USA für Standardisierungsprozesse zuständig. Aktuell arbeitet es an einer neuen Richtlinie für die Nutzung von Kennwörtern. Während Zwei-Faktor-basierte Anmeldesysteme darin ausdrücklich empfohlen werden, raten die Experten von dem Einsatz von SMS zum Versand der Einmalcodes ab.

SMS werden aktuell häufig dafür genutzt, die zusätzlichen Anmeldeinformationen zu versenden. Meldet sich der Nutzer bei einem entsprechenden System an, schickt dieses per SMS den Zugangscode an die hinterlegte Rufnummer. Diesen muss der Nutzer anschließend eingeben, um sich am System korrekt anmelden zu können. Die Kommunikation mit dem Handy wird als „out-of-bound“ bezeichnet, da sie komplett getrennt von der Datenkommunikation abläuft.

Diese Art der Authentifizierung hat aber ein paar potentielle Schwachstellen. Zunächst einmal richten viele Nutzer eine Benachrichtigung ein, die selbst bei gesperrtem Handy-Bildschirm Teile der eingehenden SMS anzeigen. So kann es sein, dass die notwendigen Informationen auch bei gesperrtem System sichtbar sind. Ein größeres Problem sind VoIP-Nummern, die als Empfangsgerät fungieren. Diese lassen sich von Angreifern unter Umständen mitschneiden, unter bestimmten Bedingungen  könnten Angreifer die SMS sogar auf ein anderes System umleiten.

In den neuen Richtlinien verbietet das NIST die SMS-Systeme nicht komplett. Unternehmen sollten dennoch die Technik möglichst schnell ablösen und sich nach Alternativen umsehen. Bis dahin sollte sichergestellt sein, dass es sich beim SMS Empfänger wirklich um ein Mobiltelefon handelt und kein VoIP-Dienst hinterlegt ist.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

 

 

Nächste Schritte

Multifaktor-Authentifizierung: Beispiele und Anwendungsfälle für MFA.

PCI-DSS: Mehrfach-Authentifizierung wird Pflicht.

Darum ist mobile Zwei-Faktor-Authentifizierung besser als Biometrie.

Passwörter: Der größte Risikofaktor in der IT-Sicherheit.

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close