Angriffspfade bei Zwei-Faktor-Authentifizierung mittels SMS

CR293 Wie um die 200 Millionen SMS von mehr als 200 Unternehmen leakten ()

Wir sprechen in dieser Sendung über Zwei-Faktor-Authentifizierung (2FA) und über den speziellen Fall von IdentifyMobile, zu dem der CCC eine Pressemitteilung herausgegeben hatte: „Zweiter Faktor SMS: Noch schlechter als sein Ruf“. Betroffen waren mehr als zweihundert Unternehmen, die mit IdentifyMobile zusammenarbeiteten, beispielsweise Google, Amazon, Facebook, Microsoft, Telegram, FedEx oder DHL. Insgesamt leakten fast 200 Millionen SMS.

Zwei-Faktor-Authentifizierung soll die Sicherheit von Authentifizierungen erhöhen. Wir erklären: Wie läuft eine Zwei-Faktor-Authentifizierung mittels SMS („2FA-SMS“) typischerweise ab? Und was es daran zu meckern gibt, wollen wir euch auch nicht vorenthalten. Wir möchten bei aller Kritik aber darauf hinweisen: 2FA-SMS ist dennoch eine Methode zur Erhöhung der Sicherheit von Authentifizierungen und immer noch besser als nichts.

Doch was für alternative Verfahren gibt es? Welche Angriffspfade bei Zwei-Faktor-Authentifizierung sind zu beachten? Eignen sich auch biometrische Verfahren mit Finger oder Gesicht zur Zwei-Faktor-Authentisierung? Darüber sprechen Dirk Engling, Matthias Marx und Constanze Kurz im Chaosradio 293.

Mitwirkende

avatar
Constanze Kurz
avatar
Matthias Marx
avatar
Erdgeist

6 Gedanken zu „Angriffspfade bei Zwei-Faktor-Authentifizierung mittels SMS

  1. Schade, dass passkeys gar nicht erwähnt wurden. Das scheint immer häufiger Verwendung zu finden, ist aber allgemein noch ziemlich unbekannt.

  2. Hey,
    ihr habt euch ja über das bewusste Abschalten von defaults bei S3 buckets in AWS ausgelassen. Das man da klickt und dann ist das halt rot.
    Das Problem sitzt viel tiefer, schließlich klickt da niemand etwas in der AWS Console sondern macht infrastructure-as-code mit Terraform. Da kopiert dann ein DevOps ein Beispiel von stackoverflow oder medium bzw. gut geremixed aus Chat GPT…
    tada!

  3. Ich sehe persönlich Apps eher als einen Rückschritt in die 1990er Jahre. Man hat plötzlich wieder Software von der man noch nicht mal den Quellcode hat, welche von Leuten geschrieben wurde, die in den 1990ern gerade mal so Desktops-Apps ohne Sicherheitsanforderungen hin bekommen haben… die jetzt aber verteilte Systeme die im Internet stehen entwickeln und betreiben müssen.

    Wenn wir mal zurück schauen, sehen wir ja welch großer Fortschritt zum einen die Bewegung hinter der Freien Software war, zum anderen, dass wir mit dem Web wieder ein großes Stück in Richtung Trennung von Daten und Programmen gekommen sind. Was Anfang der 1990er eine Zitatedatenbank in einem proprietären Format mit proprietärem Programm war, wurde zu einer Zitatewebsite die man mit jedem Browser nutzen konnte. Da sind Apps schon ein Rückschritt.

    Was man vielleicht machen müsste wäre eine Ende-zu-Ende Alternative für SMS schaffen. Etwa was gut spezifiziert ist, was so billig realisierbar ist, dass sich Subunternehmen nicht rentieren, und halt Text und ggf Bild transportieren kann…. Also so was wie E-Mail.

    • Die 90er? Eher die 70er. Das Smartphone ist die Rückkehr der Terminals, es wandert wieder alles aus dem Endgerät heraus, zurück in den zentralen Computer. Diesmal gibt es statt Bildschirm und Tastatur aber nur Bildschirm und Maus.

  4. Nachfrage zu den Burner-SIM-Karten (ab 36:30):

    In meinem Verständnis ist die Regulierung der SIM-Karten-Vergabe den einzelnen EU-Staaten selbst überlassen, da es sich dabei um Belange der öffent­lichen Sicher­heit handelt [https://www.teltarif.de/roaming-registrierung-bundesnetzagentur-auslaender/news/90305.html].
    Außerdem waren die letzten mir bekannten Meldungen der EU gegen diese Maßnahmen, da es keine Beweise für ihre Wirksamkeit gab [https://netzpolitik.org/2013/vorratsdatenspeicherung-eu-kommission-legt-beweise-fuer-notwendigkeit-vor-beweist-aber-die-notwendigkeit-nicht/].

    In dieser Episode klingt es jedoch so, als gäbe es Vorgaben der EU, die noch „nicht in allen EU-Ländern […] schon umgesetzt“ sind.

    Handelt es sich um ein Missverständnis meinerseits oder wurden entsprechende EU-Regulierungen eingeführt?

  5. Leider fand ich diese Episode vom Chaosradio eher dünn und schlecht recherchiert. FIDO2 wurde falsch beschrieben und mit TOTP verwechselt. Warum wurde nichts von SSO und von Allem der herstellerübergreifenden, sehr sicheren neuen Technik Passkeys erzählt? Auch fand ich die Beschreibungen zu 2-Faktor-Auth bei Banken sehr lückenhaft und teilweise falsch. Welche Bank schickt denn bitte als 2. Faktor E-Mails raus?
    Die Einleitung mit den Ausführungen, warum man im Laufe der Zeit einen 2. Faktor brauchte, fand ich sehr gut und detailliert. Danach war die Sendung leider mit einer Aneinanderreihung gefährlichem Halbwissens gespickt.
    Gerade bei einem so wichtigen Thema wünsche ich mir deutlich mehr Präzision und Fachwissen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert