Wie sicher ist die 2 Faktor Authentifizierung per Sms?
Wie leicht kann man trotz 2 FA(SmS) gehackt werden ?
7 Antworten
2 FA ist 2 FA. Nicht mehr und nicht weniger, wie viel sicherer ist, kommt ganz auf den Hacker an, allerdings bist du mit 2 FA um einiges sicherer.
MFA per SMS gilt als eine der unsichersten MFA-Methoden. Trotzdem ist eine MFA per SMS im Regelfall (je nach Umsetzung und Angriffsszenario) besser als gar keine MFA.
Eine schöne Übersicht¹ von Mircrosoft dazu (auch wenn ich MS eigentlich nicht mag):
Moin!
Der zweite Faktor per SMS gilt generell als Unsicherer.
Grund dafür ist mehr Angriffsfläche, da die Authentisierung nicht Geräteabhängig ist sondern von deiner Nummer. Ein Angriff wäre zum Beispiel das sog. SIM-Swapping; Dabei ermöglicht sich der Angreifer den Zugang auf die Codes, indem er einen Nummernwechsel bei deinem Anbieter beantragt, da hierbei häufig nur ein Anruf und eine Vortäuschung deiner Identität genügt, mehr dazu hier: https://de.wikipedia.org/wiki/SIM-Swapping
Generell haben Anbieter aber aufgrund gehäufter Angriffe dieser Art ihre Sicherheitsmaßnahmen etwas verschärft.
Ebenso wird dein Code versandt. D.h. er kann nicht offline auf deinem Gerät durch kryptographsiche Verfahren generiert werden, sondern er muss erstmal per SMS gesendet werden. Da SMS generell nicht verschlüsselt ist, kann man sich hier auch durch einen MITM (Man-In-The-Middle) zugang zum Code verschaffen, dass der Angreifer eben zwsichen dir und dem Server den Netzverkehr mitschneidet.
https://security.stackexchange.com/questions/252076/why-is-sms-used-as-a-way-of-verifying-a-users-mobile-when-it-is-not-even-encry (Thread über die Thematik [Englisch])
Fazit: Als zweiter Faktor genügend, denn solange du keine berühmtere Persönlichkeit bist, wird dir derart Angriff vermutlich nicht passieren. Jedoch sollte man zu einer Auth-app greifen oder sogar mit etwas Geld in einen Security Key stecken - bspw. als Firma empfehlenswert für Mitarbeiter mit administrativen Zugriff auf das System.
Naja dein Handy ist ein weiterer Faktor neben dem Passwort, das ist erst mal gut.
SMS-Probleme sind von data2309 bereits abgedeckt.
Generell zu 2FA:
Somit braucht der Angreifer im schlimmsten Fall also dein Handy.
Wenn aber ein anderes Gerät in deinem Heimnetzwerk kompromittiert ist, könnte der Angreifer sich über dein vertrautes Netzwerk auch ohne einloggen.
Das liegt daran, dass meist das Heimnetzwerk standartmäßig vom double-check ausgeschlossen ist, du möchtest ja nicht immer wenn du daheim bist 2FA machen müssen. Von wo anders aus kennst du das vielleicht, dass dann der Check kommt.
Auch könnte per Session-Hijacking der Cookie ohne Authentifizierung gestohlen werden, also dass der Angreifer dann eingeloggt ist, sofern ein Netzwerkgerät kompromittiert ist.
Oder dein Handy selbst ist kompromittiert..
Okay klingt so als wäre das auch nicht besonders sicher. Weiß aber auch nicht wie wahrscheinlich das ist dass das alles passiert
Auf jeden Fall sehr viel sicherer als ohne.