2-Faktor-Authentifizierung per SMS? Problematisch.

Der IT-Sicherheitsreporter Brian Krebs beschwert sich in einem Blogpost über eBays Versuch, ihn dazu zu überreden, sich die Codes für die 2-Faktor-Authentifizierung per SMS zuschicken zu lassen anstatt einen Hardware-Token (einen Schlüsselanhänger, der alle 30 Sekunden einen anderen Code anzeigt) zu verwenden. Er schreibt, zu Recht, dass dies weniger sicher ist als andere Methoden.

Eine kurze Anekdote: Vor einiger Zeit musste ich für ein Familienmitglied eine Tausch-SIM-Karte besorgen. Ich ging dazu mit einem anderen Familienmitglied in einen Shop des Netzbetreibers. Die Mitarbeiterin fragte nach Telefonnummer und Adresse des Vertragspartners – und händigte uns prompt die Tausch-SIM-Karte aus. Sie fragte uns weder nach einem Ausweis, noch nach irgendeinem nicht-öffentlichen Detail wie zum Beispiel dem Kundenkennwort. An die alte SIM kam ein SMS mit einem Hinweis. So einfach könnte man einen Mobilfunkanschluss übernehmen und die Codes per SMS empfangen – wenn auch vom Opfer nicht ganz unbemerkt.

Für mich zeigt das: SMS-Codes und SMS-TANs sind nur so sicher wie das System des Mobilfunknetzbetreibers – und darin scheint Sicherheit eine untergeordnete Rolle zu spielen.

Wie man von jedem Handy aus e-mails verschicken kann

Dass man mit Smartphones e-mails verschicken kann ist spätestens seit der Einführung von iPhones und BlackBerrys ein alter Hut. Mit Zusatzgeräten e-mails abrufen ist auch schon lange möglich: Anno 1998 zum Beispiel konnte man Palm Pilot-PDAs per Infrarot mit Mobiltelefonen verbinden und zum Surfen verwenden, wenn man das nötige Maß an Geduld hatte. Heute verfügen die meisten Handys, die ein Farbdisplay haben, über e-mail-Software, auch wenn sie fast niemand verwendet. Allen diesen Methoden ist gemeinsam, dass man die Einstellungen des eigenen e-mail-Accounts kennen muss und einen Datentarif haben sollte, um Kosten zu sparen.

Auf eine nette Alternative zum Verschicken von e-mails, die keinerlei Einstellungen erfordert, bin ich heute gestoßen: MMS. Ja, richtig, der Dienst, den eh fast niemand verwendet.

Weiterlesen