this post was submitted on 11 Jul 2024
10 points (91.7% liked)

Netzkultur / Netzpolitik

490 readers
55 users here now

Alles rund um das Internet. Gerne auch die politische Seite zum Thema

Als Nachfolger für !netzpolitik@feddit.de

Wir sehen uns als einen selbstbestimmten Raum, außerhalb der Kontrolle kommerzieller Tech-Unternehmen.

Netiquette wird vorausgesetzt. Gepflegt wird ein respektvoller Umgang - ohne Hass, Hetze, Diskriminierung.

Die Regeln von feddit.org gelten.

Das Bild im Banner und Icon: Public Domain generated with Midjourney gefunden auf netzpolitik.org

founded 5 months ago
MODERATORS
Der_aus_Aux
marv99
10
CCC | Zweiter Faktor SMS: Noch schlechter als sein Ruf (www.ccc.de)
submitted 4 months ago* (last edited 4 months ago) by Der_aus_Aux to c/netzkultur
4 comments fedilink hide all child comments
 

Der Chaos Computer Club (CCC) demonstriert nun einen bisher vernachlässigten Angriff auf 2FA-SMS: Zum Versenden der Nachrichten ist die Nutzung von Dienstleistern üblich. Diese Anbieter versenden große Mengen an SMS für viele unterschiedliche Unternehmen und Services. Sie haben dabei Einblick in die SMS. Die Sicherheit des Authentifizierungsverfahrens hängt also auch von der Sicherheit der Dienstleister ab.

IdentifyMobile, ein Anbieter von 2FA-SMS, hat die versendeten Einmalpasswörter in Echtzeit mit dem Internet geteilt. Der CCC war zufällig zur richtigen Zeit am richtigen Ort und konnte die Daten einsehen. Hierzu genügte es, die Subdomain “idmdatastore” zu raten. Neben SMS-Inhalten waren auch Rufnummern der Empfänger*innen, Absendernamen und teilweise andere Account-Informationen einsehbar.

[..]

Sicherer und sogar unabhängig vom Mobilfunknetz sind zum Beispiel Einmalpasswörter (One-time passwords, OTPs), die Nutzer*innen in einer App generieren, oder der Einsatz von Hardware-Token. Wenn diese Möglichkeiten angeboten werden, raten wir dazu, sie zu nutzen.
Und bitte beachten: Jeder zweite Faktor bleibt besser als nur einer, das Passwort.

top 4 comments
sorted by: hot top controversial new old
[–] mettwurstkaninchen 3 points 4 months ago (3 children)

Blöde Frage: Spricht das wirklich gegen SMS als 2FA, wenn ein Anbieter total unfähig ist? So ein Quatsch kann doch auch mit anderen Methoden auftauchen, oder?

[–] Der_aus_Aux 4 points 4 months ago

Bei SMS weiß man es halt schon einige Zeit, dass es prinzipiell unsicher ist. Es steht aber auch eine Einschätzung im Artikel.

[–] Gladaed 1 points 4 months ago

Nein, es ist hier aber auch kein einzelner Anbieter.

[–] Killing_Spark@feddit.de 0 points 4 months ago

Es kann mit sowas wie totp eben genau nicht passieren. Da muss einmal ein Geheimnis übertragen werden und danach muss kein Anbieter jedes Mal involviert sein wenn ich mich anmelden möchte