Zwei-Schritt-Authentifizierung: NIST hält SMS für ungeeignet
Marco Jahn, den 26. Juli 2016Die Zwei-Faktor-Authentifizierung erhöht die Sicherheit beim Anmelden bei Diensten. Sie ist zwar weitestgehend optional, aber wenn man sie nutzt, soll man sie richtig nutzen. Das findet jedenfalls das NIST und weist darauf hin, dass die SMS kein geeignetes Mittel ist, um den zweiten Schritt einzuleiten.
SMS ist zu unsicher
Bei der Zwei-Faktor-Authentifizierung wird zusätzlich zu Benutzername oder E-Mail-Adresse und Passwort noch ein Code über einen unabhängigen Kommunikationsweg verschickt. Damit soll sichergestellt werden, dass derjenige, der sich anzumelden versucht, auch tatsächlich der Inhaber des Accounts ist. Gerne wird dafür die SMS verwendet, da sie weit verbreitet ist. Das National Institute for Standards and Technology erklärt die SMS in einem Entwurf für ungeeignet.
Das NIST ist mit der DIN in Deutschland vergleichbar. Die Kollegen von 9to5mac weisen darauf hin, dass das NIST allenfalls Empfehlungen ausspricht, die nicht bindend sind. Genau wie DIN-Normen halten sich Hersteller und Dienstanbieter aber größtenteils an die Empfehlungen. Laut NIST sollten Unternehmen sicherstellen, dass bei einem Telefonat die Telefonnummer nicht über einen VoIP-Dienst läuft, da diese von Dritten angezapft werden könnte. Auch die SMS wird für überholt erklärt. Demnach ist es zwar noch nicht „verboten“, den Code per SMS zu verschicken, aber in späteren Ausgaben wird die SMS nicht mehr als valides Mittel aufgeführt werden.
Auch Apple verwendet auf Wunsch eine Anmeldung in zwei Schritten. Dabei kann man aus verschiedenen Methoden wählen, mit denen der Code übermittelt werden soll. Neben der SMS wird auch ein Code auf einen Mac oder ein iOS-Gerät unterstützt. Als dritte Methode kann ein automatischer Anruf abgesetzt werden.