Der IT-Sicherheitsreporter Brian Krebs beschwert sich in einem Blogpost über eBays Versuch, ihn dazu zu überreden, sich die Codes für die 2-Faktor-Authentifizierung per SMS zuschicken zu lassen anstatt einen Hardware-Token (einen Schlüsselanhänger, der alle 30 Sekunden einen anderen Code anzeigt) zu verwenden. Er schreibt, zu Recht, dass dies weniger sicher ist als andere Methoden.
Eine kurze Anekdote: Vor einiger Zeit musste ich für ein Familienmitglied eine Tausch-SIM-Karte besorgen. Ich ging dazu mit einem anderen Familienmitglied in einen Shop des Netzbetreibers. Die Mitarbeiterin fragte nach Telefonnummer und Adresse des Vertragspartners – und händigte uns prompt die Tausch-SIM-Karte aus. Sie fragte uns weder nach einem Ausweis, noch nach irgendeinem nicht-öffentlichen Detail wie zum Beispiel dem Kundenkennwort. An die alte SIM kam ein SMS mit einem Hinweis. So einfach könnte man einen Mobilfunkanschluss übernehmen und die Codes per SMS empfangen – wenn auch vom Opfer nicht ganz unbemerkt.
Für mich zeigt das: SMS-Codes und SMS-TANs sind nur so sicher wie das System des Mobilfunknetzbetreibers – und darin scheint Sicherheit eine untergeordnete Rolle zu spielen.