Warum eine Authentifizierungs-App besser als SMS ist

Zwei-Faktor-Authentifizierung (2FA) ist in unserer digitalen Welt, in der die meisten Passwörter für Kriminelle kaum noch eine Hürde darstellen, unerlässlich geworden. SMS-basierte 2FA ist zwar besser als gar keine 2FA, aber Authentifizierungs-Apps sind vorzuziehen, bieten sie doch einen besseren Schutz vor Bedrohungen, die es auf unsere Benutzerkonten abgesehen haben.

Twitters Abkehr von der SMS-2FA wurde kontrovers diskutiert und bot Betrügern zudem eine willkommene Gelegenheit, die einschlägigen App-Stores mit vermeintlichen 2FA-Apps zu überschwemmen.

Im Februar hatte Twitter erklärt, dass Betrüger die telefonnummerbasierte 2FA für ihre Zwecke missbrauchen würden. Laut Twitter-CEO Elon Musk sei SMS-basierte 2FA nicht nur unsicher, sondern auch eine echte Geldverschwendung.

Egal, welche Meinung man auch vertritt: Es lässt sich nicht von der Hand weisen, dass die SMS-basierte Multi-Faktor-Authentifizierung einige Schwachstellen aufweist, die von Kriminellen ausgenutzt werden können.

Wie sehen diese Schwachstellen aus

Stichwort SIM-Swapping: Haben sich Diebe erst einmal der Telefonnummer ihres Opfers bemächtigt, stellt 2FA kein Problem mehr dabei und sie haben freien Zugriff auf zum Beispiel Bankkonten oder Krypto-Wallets. Bereits 2018 wurde der Krypto-Investor Michael Terpin
– Gründer und CEO der Transform Group – von einem Teenager, der die an seine Nummer gesendeten 2FA-Codes abfing, um rund 24 Millionen Dollar erleichtert.

Bedrohungsakteure nutzen Datenlecks, öffentlich zugängliche Informationen oder Social Engineering, um an Ihre Telefonnummer und weitere Schlüsseldaten zu gelangen. Danach bestechen oder manipulieren sie Mitarbeiter Ihres Mobilfunkanbieters, um eine neue, zweite SIM-Karte zu erhalten. So können sie Ihre SMS-Verifizierungscodes empfangen und sich Zugang zu Ihren Online-Konten verschaffen.

SMS-Phishing oder Smishing ist eine weitere beliebte Methode von Betrügern, um an Verifizierungscodes zu gelangen.

Die Methode geht immer wieder auch mit Erpressungeinher, wie im Fall des 20-jährigen Dennis Su. Er nutze gestohlene Datensätze, die Hacker online gestellt hatten, um Textnachrichten zu versenden und den Empfängern mit der Kompromittierung Ihrer Identiät zu drohen, wenn sie ihm nicht 2.000 Dollar überweisen würden.

Bedenken Sie auch, dass SMS-Nachrichten über unverschlüsselte Kanäle übertragen werden und damit von jedem abgefangen und gelesen werden können, der daran ein Interesse hat.

Und natürlich kann jeder mit physischem Zugang zum Telefon des Opfers ebenfalls problemlos alle SMS-Nachrichten lesen. Außerdem gibt es keine Möglichkeit zu verhindern oder zu kontrollieren, wo die SMS zugestellt wird. Darüber hinaus ist SMS-2FA oft sehr langsam oder zu großzügig mit der Ablaufzeit des Codes, was Angreifern reichlich Gelegenheit gibt, Schwachstellen auszunutzen.

Was spricht also für eine Authentifizierungs-App?

Authentifizierungs-Apps sind nicht nur schneller und zuverlässiger als SMS-2FA, sondern erzwingen auch eine zusätzliche Sicherheitsebene, zum Beispiel in Form von PINs, Passwörtern oder biometrischen Daten (z. B. Fingerabdruck).

Authentifizierungs-Apps kommen lokal zum Einsatz, d. h. es gibt keine Möglichkeit für Angreifer, Ihre Codes abzufangen – es sei denn natürlich, Ihr Gerät ist mit Malware infiziert. Aber das ist wieder ein ganz anderes Thema.

Eine Authentifizierungs-App zeigt sekundengenauan, wie lange Ihre Codes gültig sind und generiert nach Ablauf der Zeit neue Codes. Dadürch wird es nahezu unmöglich, diese Codes ohne Zugriff auf Ihr Telefon abzufangen.

Das beste Argument für Authentifizierungs-Apps ist jedoch, dass sie keine der Schwächen von SMS-2FA aufweisen.

Problematisch wird es nur, wenn Nutzer auf gefälschte 2FA-Apps hereinfallen. Verwenden Sie daher nur vertrauenswürdige Authentifizierungs-Apps von Unternehmen wie Google oder Microsoft. Apple-Nutzern steht auch ein in iOS integrierter Authentifikator zur Auswahl. Das Apple-Tool ist zwar weniger intuitiv als eigenständige Authentifizierungs-Apps, ist aber dennoch zuverlässig und sicher.

Vergessen Sie dabei aber nicht, dass Multi-Faktor-Authentifizierung Ihnen keinen Schutz vor Malware bietet. Abhilfe kann hier nur der Einsatz einer eigenen Sicherheitslösung auf Ihren Geräten schaffen, einschließlich Ihres Telefons.