Was ist SMS-Authentifizierung?

Der Short Message Service (englisch für Kurznachrichtendienst, SMS), allgemein als Kurzmitteilung bezeichnet, ist ein Dienst, den Sie möglicherweise täglich mit Ihren Freunden und Kollegen nutzen. Die an Ihr Telefon gesendeten Texte können weitergeleitet oder mit anderen Geräten synchronisiert werden, damit Sie keine Nachricht verpassen. SMS können auch zur Authentifizierung der Identität eines Benutzers dienen. Wir befassen uns heute damit, wie die SMS-Authentifizierung funktioniert und ob sie sicher ist.

Indem man den Nutzern mehrere Optionen zur Überprüfung ihrer Identität anbietet, kann man Betrug eindämmen und sich gegen Cyberkriminelle schützen. Passwörter bieten als Authentifizierungsmethode die geringste Sicherheit und können erraten, gestohlen oder im Dark Web erworben werden. Aus diesem Grund müssen sie verstärkt werden. Die SMS-Authentifizierung fungiert in der Regel nicht als primäre oder alleinige Authentifizierungsmethode, wird aber häufig als zweiter Authentifizierungsfaktor bei der Zwei-Faktor-Authentifizierung (2FA) und der Multi-Faktor-Authentifizierung (MFA) eingesetzt.

Die Arten der Authentifizierung lassen sich in drei Hauptkategorien einteilen, wobei die SMS-Authentifizierung unter die Kategorie „Besitz“ fällt:

• Wissen – Etwas, das man weiß. Dazu zählen Passwörter, eine PIN (persönliche Identifikationsnummer) oder Antworten auf Sicherheitsfragen.

   

• Besitz – Etwas, das man hat. Zu dieser Kategorie zählen Smartphones, Mobilgeräte, Sicherheits-Token, Schlüsselanhänger und weitere Geräte, die Einmalpasswörter (OTPs) oder Codes entweder generieren oder empfangen können.

   

• Biometrie – Etwas, das man ist. Hierbei handelt es sich um eine charakteristische physische Eigenschaft wie beispielsweise einen Fingerabdruck oder Gesichtszüge, die für eine Authentifizierung gescannt werden können.

Ein Einmalpasswort (One-Time-Password, OTP) wird mithilfe eines Algorithmus erstellt und per Textnachricht an eine dem Benutzer zugeordnete Telefonnummer gesendet. Diese automatisch generierte Zeichenfolge (Buchstaben und/oder Zahlen) ist nur für eine einzige Login-Sitzung oder Transaktion gültig.

Der Benutzer kopiert das OTP in ein Authentifizierungsfenster und es erfolgt ein Abgleich des Codes mit dem Authentifizierungsserver, um die Übereinstimmung zu verifizieren. Wenn die SMS-Authentifizierung die letzte erforderliche Verifizierungsmethode ist, kann der Benutzer anschließend auf sein Konto und die zugehörigen Ressourcen zugreifen. Wenn für eine Multi-Faktor-Authentifizierung (MFA) ein dritter Authentifizierungsfaktor erforderlich ist, wie dies bei hochwertigen Transaktionen oder bei Logins von verdächtigen IP-Adressen der Fall sein kann, wird der Zugang erst nach Übermittlung des dritten Identitätsnachweises gewährt.

Es gibt zwei Haupttypen von Einmalpasswörtern, die als Codes bei der SMS-Authentifizierung verwendet werden. Beide basieren auf Algorithmen, die bei jeder Anforderung eines Passworts einen neuen Zufallscode generieren. Da diese Passwörter nicht vom Benutzer erstellt und für mehrere Konten wiederverwendet werden, haben kompromittierte OTPs für Kriminelle einen wesentlich geringeren Wert als traditionelle Passwörter.

• Beim zeitbasierten Einmalpasswort (TOTP) wird die Zeit als beweglicher Faktor verwendet, und die Passwörter laufen in der Regel innerhalb eines Zeitraums von 30 bis 240 Sekunden ab. Wenn der Benutzer sein TOTP mit Verzögerung erhält (z. B. bei einer langsamen Verbindung), ist es unter Umständen bereits abgelaufen, bevor er es verwenden kann, und er muss ein neues TOTP anfordern.

   

• Das HMAC-basierte Einmalpasswort (HOTP) ist ereignisbasiert und verwendet anstelle der Zeit einen wechselnden Faktor (Zähler). HMAC steht für Hash-based Message Authentication Code. HOTPs können über einen längeren Zeitraum gültig bleiben, da sie nicht zeitgebunden sind.

SMS-Codes können nur einziges Mal verwendet werden und sind daher sicherer als Passwörter. Dennoch können entschlossene Cyberkriminelle auch in ein Netzwerk einbrechen, das SMS-Authentifizierung verwendet. So nutzten Hacker eine Schwachstelle in der Kontenwiederherstellung der Firma Coinbase, um mit dem SMS-Token der Zwei-Faktor-Authentifizierung 6000 Kundenkonten zu knacken und Geldbeträge zu transferieren. Sie hatten außerdem Zugang zu den E-Mail-Adressen, Passwörtern und Telefonnummern der einzelnen Konten, die möglicherweise über eine Phishing-Masche gestohlen worden waren.

Schwachstellen der SMS sind beispielsweise Folgende:

• SMS-Nachrichten werden als Klartext gesendet und auf dem Bildschirm des Benutzers angezeigt. Sie sind sogar auf dem Vorschaubildschirm eines Telefons sichtbar, wenn dieses gesperrt ist.

   

• Beim SIM-Swapping wird ein Mobilfunkanbieter in betrügerischer Absicht dazu veranlasst, eine Telefonnummer einer neuen SIM-Karte zuzuweisen. SIM-Karten können zudem geklont und in mehreren Telefonen verwendet werden.

   

• Bei einem Angriff des Typs „Signaling System 7“ (SS7) können Textnachrichten mitgelesen werden.

   

• Man-in-the-Middle-Angriffe fangen eingehende SMS-Codes oder auch den Code ab, der auf einer Webseite eingegeben wird.

   

• Geräte, die SMS empfangen, wie Telefone, Tablets und Laptops, können gestohlen werden.

   

Aus diesen Gründen wird die SMS-Authentifizierung in der Regel mit anderen Authentifizierungsfaktoren kombiniert, um ihre Sicherheit zu erhöhen.

Unternehmen müssen bei der Auswahl der Authentifizierungsmethoden die Benutzerfreundlichkeit gegen die Sicherheit abwägen. Dies gilt insbesondere für Kunden, da diese sich ein nahtloses und reibungsloses Online-Erlebnis wünschen und gleichzeitig von den Unternehmen erwarten, ihre Konten und Daten sicher zu verwahren. Durch eine schlechte Erfahrung genervte Kunden werden möglicherweise aufgeben und zu einem Mitbewerber wechseln.

Wer mobile Geräte verwendet, kann in der Regel auch mit Textnachrichten umgehen, daher ist die Lernkurve für den Empfang von Kurzmitteilungen nicht so steil wie bei anderen Methoden. Dennoch müssen sich die Benutzer zunächst mit den entsprechenden Authentifizierungsfenstern vertraut machen. Bei der SMS-Authentifizierung können ein paar zusätzliche Schwierigkeiten auftreten, wie unter anderem Folgende:

• Wenn es zu lange dauert, bis der Text ankommt, kann ein zeitbasierter Passcode (TOTP) ablaufen, bevor er verwendet werden kann, oder die Benutzer sind verärgert und brechen das Online-Erlebnis ab.

   

• OTPs sind unter Umständen schwer zu merken und werden leicht falsch geschrieben, wenn das Kopieren und Einfügen nicht möglich ist.

   

• Ein Benutzer muss vielleicht den Webbrowser schließen, eine SMS-App öffnen, das OTP kopieren und dann den Webbrowser erneut öffnen, was den Vorgang sehr umständlich macht.

Es existieren alternative Möglichkeiten für Benutzer, OTPs zu empfangen, wie beispielsweise Authentifizierungs-Apps, die von Ping, Google und Microsoft angeboten werden. Wenn Sie mehr über verschiedene Formen der Authentifizierung erfahren möchten, finden Sie weitere Informationen in unserem Ultimativen Leitfaden für die Authentifizierung.