SMS Two-Factor Auth ist nicht perfekt, aber Sie sollten es trotzdem verwenden

2023 Autor: Peter John Melton | [email protected]. Zuletzt bearbeitet: 2023-08-25 03:28

Über 90% der Google Mail-Nutzer verwenden keine Zwei-Faktor-Authentifizierung

Stell es dir so vor. Angenommen, Sie möchten Ihre Haustür mit einem Schloss schützen, um Ihr Zuhause zu schützen. Sicherheitsexperten argumentieren, dass die beste verfügbare Verriegelung viel besser ist als billigere Schlösser. Klar macht Sinn. Aber wenn diese teurere Sperre nicht verfügbar ist, ist eine günstigere Sperre nicht besser als überhaupt keine Sperre?

Ja, die App-basierte Zwei-Faktor-Authentifizierung ist besser als die SMS-basierte Authentifizierung. Wenn SMS jedoch alles ist, was ein Dienst anbietet, ist es immer noch besser, als es überhaupt nicht zu verwenden.

SMS-basierte zwei Faktoren haben einige Schwächen, aber das fehlt Ein Angreifer muss einige Zeit damit verbringen, Ihre SMS-Bestätigung zu umgehen. Und die meisten Ziele sind wahrscheinlich nicht so viel Aufwand wert.

Warum Sie eine Zwei-Faktor-Authentifizierung benötigen

Die Zwei-Faktor-Authentifizierung wird so genannt, weil Sie zwei Dinge benötigen, um in Ihr Konto einzusteigen: Etwas, das Sie kennen (Ihr Passwort) und etwas, das Sie haben (ein zusätzlicher Sicherheitscode von Ihrem mobilen Gerät oder ein physisches Token).

Wenn Sie die SMS-basierte Zwei-Faktor-Authentifizierung aktivieren, sendet der Dienst eine SMS mit einem Einmalcode an Ihre Mobiltelefonnummer, wenn Sie sich von einem neuen Gerät aus anmelden. Selbst wenn jemand über Ihren Benutzernamen und Ihr Kennwort für dieses Konto verfügt, kann er sich daher nicht ohne Zugriff auf Ihre Kurzmitteilungen bei Ihrem Konto anmelden.

Es gibt auch andere Arten von Zwei-Faktoren-Methoden, einschließlich Apps auf Ihrem Telefon, die temporäre Sicherheitscodes und physische Sicherheitsschlüssel generieren, die Sie an Ihren Computer anschließen müssen.

Jede Art der Zwei-Faktor-Authentifizierung bietet einen großen Schutz für wichtige Konten wie E-Mail, Social Media und Bankkonten. Dies gilt insbesondere, wenn Sie Kennwörter wiederverwenden. Viele Benutzer verwenden Kennwörter auf mehreren Websites erneut. Wenn die Kennwortdatenbank einer Website ausläuft, kann dieses Kennwort zum Anmelden bei ihren E-Mail-Konten verwendet werden. Die Zwei-Faktor-Authentifizierung würde dieses Recht in seinen Spuren stoppen.

Das bedeutet nicht, dass Sie Passwörter wiederverwenden sollten. Sie sollten Kennwörter nicht wiederverwenden. Sie sollten einen guten Kennwortmanager verwenden, um starke, eindeutige Kennwörter zu verfolgen.

Warum sagen die Leute, dass die SMS-Authentifizierung schlecht ist?

Die SMS-basierte Zwei-Faktor-Authentifizierung wird nicht als ideal angesehen, da jemand Ihre Telefonnummer stehlen oder Ihre SMS abfangen kann. Zum Beispiel:

• Ein Angreifer kann Sie als Person ausgeben und Ihre Telefonnummer zu einem neuen Telefon mit einer Portnummer für die Portierung der Portierung verschieben. Dies ist der wahrscheinlichste Angriff.
• Ein Angreifer kann SMS-Nachrichten abfangen, die für Sie bestimmt sind. Sie könnten beispielsweise einen Zellturm in Ihrer Nähe spoofen oder eine Regierung könnte ihren Zugriff auf das Mobilfunknetz zur Weiterleitung von Nachrichten verwenden.

Aus diesem Grund empfehlen Experten die Verwendung einer anderen Zwei-Faktoren-Methode, die von Nationalstaaten nicht so leicht missbraucht werden kann und nicht anfällig ist, wenn Ihr Mobilfunkanbieter Ihre Telefonnummer an eine andere Person weitergibt. Wenn Sie Ihren Code von einer App auf Ihrem Telefon oder von einem physischen Sicherheitsschlüssel erhalten, den Sie einstecken, ist Ihr Zwei-Faktoren-Faktor nicht anfällig für Probleme mit dem Telefonnetzwerk. Der Angreifer benötigt ein freigeschaltetes Telefon oder den physischen Sicherheitsschlüssel, den Sie sich anmelden müssen.

Sicher, in einer perfekten Welt ist SMS nicht die ideale Lösung. Wir haben erklärt, warum Sicherheitsexperten SMS-basierte Zwei-Schritt-Authentifizierung nicht mögen. Aber selbst als wir diesen Fall dargelegt haben, haben wir versucht, eines klar zu machen: Die Zwei-Faktor-Authentifizierung auf SMS-Basis ist viel, viel besser als nichts.

Manche Leute brauchen mehr Sicherheit als SMS

Die durchschnittliche Person ist mit der SMS-basierten Authentifizierung vorerst in Ordnung. Die SMS-basierte Authentifizierung sorgt dafür, dass Angreifer eine Menge zusätzlicher Anstrengungen unternehmen, um in Ihr Konto zu gelangen, und Sie sind wahrscheinlich nicht die Mühe wert, wenn es andere einfachere und saftigere Ziele gibt. Die meisten Benutzer verwenden nicht einmal die SMS-Authentifizierung, und das Internet wäre viel sicherer, wenn alle dies tun würden.

Personen, die wahrscheinlich von hoch entwickelten Angreifern angegriffen werden, sollten die SMS-basierte Authentifizierung vermeiden. Wenn Sie beispielsweise Politiker, Journalist, Prominenter oder Wirtschaftsführer sind, könnten Sie gezielt angegriffen werden. Wenn Sie eine Person mit Zugriff auf vertrauliche Unternehmensdaten, ein Systemadministrator mit vertieftem Zugriff auf vertrauliche Systeme oder nur eine Person mit viel Geld in der Bank sind, ist SMS möglicherweise zu riskant.

Wenn Sie jedoch die durchschnittliche Person mit einem Google Mail- oder Facebook-Konto sind und niemand einen Grund dafür hat, Zeit für den Zugriff auf Ihre Konten aufzuwenden, ist die SMS-Authentifizierung in Ordnung und Sie sollten sie unbedingt aktivieren, anstatt überhaupt nichts zu verwenden.

Sie sind nur so sicher wie der schwächste Link

Mit anderen Worten: Bei vielen - wahrscheinlich sogar den meisten - Diensten können Sie über Ihre Telefonnummer in Ihr Konto einsteigen, selbst wenn Sie meistens einen von einer App generierten Code oder einen physischen Sicherheitsschlüssel verwenden. Sie sind nur so sicher wie das schwächste Glied im System. Überprüfen Sie die anderen Anmeldemöglichkeiten, wenn Sie nicht über Ihre normale Methode verfügen.

Um ein Google-Konto wirklich zu sperren, müssen Sie nicht nur die SMS-basierte Zwei-Schritt-Authentifizierung vermeiden. Sie müssen sich auch für das Advanced Protection-Programm von Google anmelden, das von Google für "Journalisten, Aktivisten, Unternehmensleiter und politische Kampagnen" angekündigt wird. Für dieses kostenlose Programm benötigen Sie einen physischen Sicherheitsschlüssel, um sich anzumelden, aber es erfordert noch viel mehr Informationen zum Wiederherstellen Ihres Kontos.

Bitte verwenden Sie SMS, wenn Sie 2FA momentan nicht verwenden

Wir möchten Sie nicht in ein falsches Gefühl der Sicherheit wiegen: Wenn Sie wahrscheinlich von ausländischen Regierungen, Unternehmensspionieren oder organisierten Kriminellen ins Visier genommen werden, sollten Sie unbedingt die SMS-basierte Zwei-Faktor-Authentifizierung vermeiden und Ihre Authentifizierung verhindern Konten mit etwas sicherer.

Wenn Sie jedoch die durchschnittliche Person sind, die die Zwei-Faktor-Authentifizierung noch nicht aktiviert hat, lassen Sie sich nicht davon abbringen: Der SMS-basierte Zwei-Faktor macht Sie wesentlich sicherer als gar kein Zwei-Faktor. Dies ist eine wichtige Grundlage für die Sicherheit.

Jeder sollte die SMS-Bestätigung verwenden, es sei denn, er verwendet etwas Besseres.