Es ist an der Zeit, keine SMS- und 2FA-Apps mehr für die Zwei-Faktor-Authentifizierung zu verwenden

Während die Zwei-Faktor-Authentifizierung im Allgemeinen eine gute Sache ist, können Sie schockiert sein zu wissen, dass SMS- und 2FA-Apps beide unsicher sind. Hier ist, was Sie stattdessen verwenden sollten.

Während die Zwei-Faktor-Authentifizierung im Allgemeinen eine gute Sache ist, können Sie schockiert sein zu wissen, dass SMS- und 2FA-Apps beide unsicher sind.  Hier ist, was Sie stattdessen verwenden sollten.
Werbung

Heutzutage scheint jede Website, die Sie besuchen, Sie dazu zu ermutigen, die Zwei-Faktor-Authentifizierung (2FA) zu verwenden.

Eine der gebräuchlichsten Methoden zur Verwendung von 2FA ist die Eingabe eines eindeutigen Codes von Ihrem Mobilgerät. In der Regel erhalten Sie den Code in einer SMS oder Sie verwenden eine 2FA-App eines Drittanbieters, um eine solche zu generieren.

Die beiden Methoden sind beide beliebte Wege, um Codes aufgrund ihrer Bequemlichkeit zu verwenden. Beide Verfahren sind jedoch auch vom Sicherheitsstandpunkt aus schwach. Und weil Ihr 2FA-Code nur so sicher ist wie die Technologie, mit der er geliefert wird, sind die Schwächen wichtig.

Was ist falsch daran, SMS und Apps von Drittanbietern für den Zugriff auf Ihre Codes zu verwenden? Und gibt es eine ebenso bequeme Alternative, die sicherer ist? Wir werden alles erklären. Lesen Sie weiter, um mehr zu erfahren.

Wie funktioniert die Zwei-Faktor-Authentifizierung?

Nehmen wir einen Moment, um zu diskutieren, wie die Zwei-Faktor-Authentifizierung funktioniert. Ohne die Mechanik hinter der Technologie zu verstehen, macht der Rest dieses Artikels wenig Sinn.

Im Großen und Ganzen fügt 2FA Ihrem Konto eine zusätzliche Sicherheitsebene hinzu. Die Anmeldeinformationen, die auch als Multi-Faktor-Authentifizierung bezeichnet werden, bestehen nicht nur aus einem Passwort, sondern auch aus einer zweiten Information, auf die nur der berechtigte Inhaber des Kontos Zugriff hat.

2FA gibt es in vielen verschiedenen Formen Das Für und Wider von Zwei-Faktor-Authentifizierungstypen und -methoden Das Für und Wider von Zwei-Faktor-Authentifizierungstypen und -methoden Zwei-Faktor-Authentifizierungsmethoden sind nicht gleich. Einige sind nachweislich sicherer und sicherer. Hier sehen Sie die gängigsten Methoden und welche Ihren individuellen Bedürfnissen am besten entsprechen. Weiterlesen . Auf der grundlegendsten Ebene könnte es so einfach sein wie Sicherheitsfragen (weil niemand sonst den Mädchennamen Ihrer Mutter wissen könnte). Warum antworten Sie auf die Passwortsicherheit? Falsch beantworten Sie die Passwortsicherheitsfragen? Falsch Wie antworten Sie online? Fragen zur Kontosicherheit? Ehrliche Antworten? Unglücklicherweise könnte deine Ehrlichkeit einen Riss in deiner Online-Rüstung verursachen. Lass uns einen Blick darauf werfen, wie man Sicherheitsfragen sicher beantwortet. Lies mehr oder dein Lieblingstier). Am komplizierteren Ende könnte es eine biometrische ID wie ein Retina-Scan oder ein Fingerabdruck sein.

Warum sollten Sie die SMS-Überprüfung vermeiden?

SMS genießt eine Position als die am einfachsten zugängliche Möglichkeit, auf 2FA-Codes zuzugreifen und sie zu verwenden. Wenn eine Website Zwei-Faktor-Authentifizierungslogins anbietet, bietet sie fast sicher SMS als eine der Optionen an.

Aber SMS ist keine sichere Möglichkeit, 2FA zu verwenden. Es hat zwei Hauptschwachstellen.

Erstens ist die Technologie anfällig für SIM-Swap-Angriffe . Es dauert nicht viel, bis ein Hacker einen SIM-Swap durchführt. Wenn sie Zugriff auf eine andere persönliche Information haben - wie Ihre Sozialversicherungsnummer -, können sie Ihren Mobilfunkanbieter anrufen und Ihre Nummer auf eine neue SIM-Karte verschieben.

Zweitens können Hacker SMS-Nachrichten abfangen . Es kommt alles auf das inzwischen datierte Signalisierungssystem Nr. 7 (SS7) Telefonleitwegsystem zurück. Die Methodik wurde 1975 entwickelt, wird aber immer noch fast global zum Verbinden und Trennen von Anrufen verwendet. Es behandelt auch Zahlenübersetzungen, Prepaid-Abrechnung und vor allem SMS-Nachrichten.

Es überrascht nicht, dass diese Technologie von 1975 voller Sicherheitslücken ist. So beschreibt Sicherheitsexperte Bruce Schneier die Fehler:

"Wenn die Angreifer Zugriff auf ein SS7-Portal haben, können sie Ihre Konversationen an ein Online-Aufnahmegerät weiterleiten und den Anruf an das beabsichtigte Ziel weiterleiten [...] Es bedeutet, dass ein gut ausgerüsteter Verbrecher Ihre Bestätigungsnachrichten abrufen und sie verwenden kann." Ich habe sie sogar gesehen. "

Natürlich herauszufinden, dass ein Cyberkrimineller Ihr Facebook gehackt hat Wie Sie herausfinden können, ob Ihr Facebook-Konto gehackt wurde Wie Sie herausfinden können, ob Ihr Facebook-Konto gehackt wurde Angesichts der Menge an Daten, die wir unseren Profilen hinzugefügt haben, ist es wichtiger Damit Sie immer auf den Datenschutzeinstellungen von Facebook bleiben. Read More Konto ist alles andere als ideal. Aber die Situation ist gruseliger, wenn man andere Anwendungen von 2FA in Betracht zieht. Ein Cyberkrimineller könnte Codes stehlen, die Sie in Ihrem Online-Banking verwenden, oder sogar Geldtransfers initiieren und abschließen. 6 Apps, mit denen Sie Geld zwischen Freunden transferieren 6 Apps helfen Ihnen, Geld zwischen Freunden zu transferieren Manchmal müssen Sie Geld schnell und sicher an Freunde senden . Hier sind sechs der besten verfügbaren Optionen. Weiterlesen .

Darüber hinaus behauptet Schneier, dass jeder den Zugang zum SS7-Netzwerk für rund 1.000 US-Dollar erwerben könne. Sobald sie Zugriff haben, können sie eine Routing-Anfrage senden. Um das Problem zu beheben, authentifiziert das Netzwerk möglicherweise nicht die Quelle der Anforderung.

Denken Sie daran, dass die Verwendung der Zwei-Faktor-Authentifizierung per SMS besser ist, als 2FA deaktiviert zu lassen. Und es ist wahrscheinlich unwahrscheinlich, dass Sie ein Opfer werden. Wenn Sie sich jedoch etwas besorgt fühlen, müssen Sie weiterlesen. Viele Menschen akzeptieren, dass SMS unsicher ist und wenden stattdessen Apps von Drittanbietern an.

Aber das ist vielleicht nicht viel besser.

Warum sollten Sie 2FA-Apps meiden?

Die andere gängige Methode, um 2FA-Codes zu verwenden, ist die Installation einer dedizierten Smartphone-App. Es gibt viele zur Auswahl. Google Authenticator ist wohl am bekanntesten, aber nicht unbedingt der beste. Es gibt viele Alternativen - sehen Sie sich Authy, Authenticator Plus und Duo an.

Aber wie sicher sind spezialisierte 2FA-Apps? Ihre größte Schwäche ist ihre Abhängigkeit von einem geheimen Schlüssel .

Lassen Sie uns für eine Sekunde einen Schritt zurücktreten. Falls Sie nicht wissen, wann Sie sich zum ersten Mal für viele Apps anmelden, müssen Sie einen geheimen Schlüssel eingeben. Das Geheimnis wird zwischen Ihnen und dem Anbieter der App geteilt.

Wenn Sie auf eine Site zugreifen, basiert der Code, den die App erstellt, auf einer Kombination aus Ihrem Schlüssel und der aktuellen Uhrzeit. Im selben Moment erzeugt der Server einen Code, der dieselben Informationen verwendet. Die beiden Codes müssen übereinstimmen, damit der Zugriff gewährt wird. Klingt vernünftig.

Warum sind Schlüssel der Schwachpunkt? Nun, was passiert, wenn ein Cyber-Krimineller Zugang zur Passwort- und Geheimhaltungsdatenbank eines Unternehmens erhält? Jeder Account wäre verwundbar - der Angreifer könnte kommen und gehen So überprüfen Sie, ob jemand anders auf Ihr Facebook-Konto zugreift So prüfen Sie, ob jemand Zugriff auf Ihr Facebook-Konto hat Es ist unheimlich und besorgniserregend, wenn jemand ohne Ihr Konto auf Ihr Facebook-Konto zugreifen kann Wissen. Hier erfahren Sie, ob Sie verletzt wurden. Lesen Sie mehr nach Belieben.

Zweitens wird das Geheimnis entweder im Klartext oder als QR-Code angezeigt; Es kann nicht hashed oder mit einem Salz verwendet werden Was all diese MD5 Hash Stuff eigentlich bedeutet [Technologie erklärt] Was all diese MD5 Hash Stuff eigentlich bedeutet [Technologie erklärt] Hier ist eine vollständige heruntergekommen von MD5, Hashing und einen kleinen Überblick über Computer und Kryptographie. Weiterlesen . Es ist wahrscheinlich auch im Klartext auf den Servern des Unternehmens.

Der geheime Schlüssel ist der grundlegende Fehler des Time-Based One-Time Password (TOTP), das von spezialisierten Apps verwendet wird. Deshalb ist ein physischer U2F-Schlüssel immer eine sicherere Option.

Fehler in Design und Sicherheit für 2FA Apps

Natürlich sind die Chancen, dass ein Cyberkrimineller die notwendigen Datenbanken eines Drittanbieters hackt, ziemlich gering. Aber Ihre App könnte auch grundlegende Sicherheitslücken in ihrem Design haben.

Beliebtester Passwort-Manager LastPass 8 Einfache Möglichkeiten, Ihre LastPass-Sicherheit zu überlasten 8 Einfache Möglichkeiten, Ihre LastPass-Sicherheit zu überlasten Vielleicht nutzen Sie LastPass, um Ihre vielen Online-Passwörter zu verwalten, aber verwenden Sie es richtig? Hier sind acht Schritte, die Sie ergreifen können, um Ihren LastPass-Account noch sicherer zu machen. Read More fiel im Dezember 2017. Der Blogeintrag eines Programmierers auf Medium enthüllte geheime 2FA-Schlüssel konnte ohne Fingerabdruck, Passwort oder andere Sicherheitsmaßnahmen aufgerufen werden.

Die Problemumgehung war nicht einmal kompliziert. Wenn Sie auf die Einstellungen der LastPass Authenticator-App (com.lastpass.authenticator.activities.SettingsActivity) zugreifen, können Sie den Einstellungsbereich für die App ohne Prüfungen aufrufen. Von dort aus können Sie einmal auf Zurück drücken, um auf alle 2FA-Codes zuzugreifen.

LastPass hat jetzt den Fehler behoben, aber Fragen bleiben. Dem Programmierer zufolge hatte er versucht, LastPass sieben Monate lang über das Problem zu informieren, aber die Firma hat es nie repariert. Wie viele andere 2FA-Apps von Drittanbietern sind unsicher? Und wie viele nicht fixierte Schwachstellen kennen die Entwickler, aber verzögern das Patchen?

Was zu tun ist: Verwenden Sie U2F-Schlüssel

Anstatt sich auf SMS und 2FA für Ihre Codes zu verlassen, sollten Sie Universal 2nd Factor Schlüssel verwenden. Was sind U2F Schlüssel und wo werden sie unterstützt? Was sind U2F-Schlüssel und wo werden sie unterstützt? U2F-Schlüssel sind eine der besten Möglichkeiten, um Ihre Konten sicher und geschützt zu halten. Aber wo werden U2F-Schlüssel unterstützt? Lesen Sie mehr (U2F). Sie sind die sicherste Art, Codes zu generieren und auf Ihre Dienste zuzugreifen.

Weithin als eine zweite Generation von 2FA betrachtet, vereinfacht und stärkt es das aktuelle Protokoll. Darüber hinaus ist die Verwendung von U2F-Tasten fast so praktisch wie das Öffnen einer SMS-Nachricht oder einer Drittanbieter-App.

U2F-Tasten verwenden entweder eine NFC- oder eine USB-Verbindung. Wenn Sie Ihr Gerät zum ersten Mal mit einem Konto verbinden, wird eine Zufallszahl namens "Nonce" generiert. Die Nonce wird mit dem Domainnamen der Site gehashed, um einen eindeutigen Code zu erstellen.

Fido-zertifizierter U2F-Schlüssel

Danach können Sie Ihren U2F-Schlüssel bereitstellen, indem Sie ihn mit Ihrem Gerät verbinden und darauf warten, dass der Dienst ihn erkennt.

Also, was ist der Nachteil? Nun, obwohl U2F ein offener Standard ist, kostet es immer noch Geld, um einen physischen U2F-Schlüssel zu kaufen. Und vielleicht noch mehr, Sie sind von Diebstahl bedroht.

Ein gestohlener U2F-Schlüssel macht Ihr Konto nicht automatisch unsicher. Ein Hacker müsste immer noch Ihr Passwort kennen. Aber in einem öffentlichen Bereich könnte ein Dieb bereits gesehen haben, dass Sie Ihr Passwort aus der Ferne eingeben, bevor Sie Ihre Besitztümer stehlen.

U2F Schlüssel können teuer sein

Die Preise variieren beträchtlich zwischen den Herstellern, aber Sie können erwarten, zwischen etwa 15 $ und 50 $ zu zahlen.

Idealerweise möchten Sie ein Modell erwerben, das "FIDO-zertifiziert" ist. Die FIDO-Allianz (Fast IDENTITY ONLINE) ist dafür verantwortlich, Interoperabilität zwischen Authentifizierungstechnologien zu erreichen. Zu den Mitgliedern gehören alle von Google und Microsoft bis hin zu Bank of America und MasterCard.

Wenn Sie ein FIDO-Gerät kaufen, können Sie sicher sein, dass Ihr U2F-Schlüssel mit allen Diensten, die Sie täglich nutzen, funktioniert. Überprüfen Sie den DIGIPASS SecureClick U2F-Schlüssel, wenn Sie einen kaufen möchten.

DIGIPASS SecureClick FIDO U2F Sicherheitsschlüssel DIGIPASS SecureClick FIDO U2F Sicherheitsschlüssel Jetzt kaufen bei Amazon 39, 00 €

Unsicher 2FA ist immer noch besser als No 2FA

Zusammenfassend lässt sich sagen, dass die Universal 2nd Factor-Tasten ein glückliches Mittel zwischen Benutzerfreundlichkeit und Sicherheit sind. SMS ist der am wenigsten sichere Ansatz, aber auch der bequemste.

Und denken Sie daran, jede 2FA ist besser als keine 2FA. Ja, es dauert 10 Sekunden, bis Sie sich bei bestimmten Apps angemeldet haben, aber es ist besser, als Ihre Sicherheit zu opfern.

In this article