Die klassische Authentifizierung erfolgt üblicherweise mit Benutzername und Passwort. Da aber Passwörter gerne mal in die falsche Hände geraten, wie inzwischen zig fach bekannt, sei es durch Ausspähen auf dem Transportweg, durch Auslesen des Passwort-Speichers, oder durch Knacken mit Brute-Force-Tools, braucht es einen weiteren „Faktor“, der die Authentifizierung sicherer macht. Also eines weiteren Merkmals, das über einen alternativen Kanal abgefragt wird. Auch Multifaktor-Authentifizierung genannt.
In den letzten Jahren wurde vor allem im Banking-Umfeld die SMS verwendet, um neben dem Passwort oder der PIN, ein weiteres Merkmal des Benutzers abzufragen. Die Bank schickt also nach dem Login via Benutzername und PIN eine SMS an den Kunden, damit er sich durch Eingabe dieser gegenüber der Bank legitimiert. Dass aber SMS nicht sicher sind, zeigt sich vermehrt durch Bekanntwerden immer neuer Vorfälle. Wie das Magazin TechCrunch.com berichtet, wurde eine Datenbank des kalifornische Telekomanbieters Voxox kompromittiert, so dass Millionen gesendeter SMS Nachrichten für jedermann offen lesbar waren – und zwar in Echtzeit, so dass beispielsweise Passwort-Rücksetzungstoken einsehbar waren, quasi gleichzeitig zum Versand an den eigentlichen Adressat. Ganz abgesehen von privaten Daten und anderen geheimen Informationen. Mit solcherlei Pannen ist es also keine Hilfe, SMS als zweiten Faktor für die Sicherheit zu verwenden. Im Gegenteil.
Es stellt sich also die Frage, warum ein Telekomanbieter überhaupt versendete SMS abspeichern. Geht man dieser Frage nach, stellt man schnell fest, dass diese sogar dazu verpflichtet sind, SMS in ihren Datenbanken aufzubewahren, da es sich technisch gesehen dabei um ein Kommunikationsprotokoll handelt, für das Aufbewahrungspflicht besteht. Mindestens 10 Jahre müssten SMS gespeichert werden.
Was lernen wir daraus? SMS taugen nicht für die Multifaktor-Authentifizierung. Vielleicht sollte ich einer meiner Banken, die das immer noch praktiziert, mal deutlich sagen. Bei den meisten Banken wurde inzwischen umgestellt, was die TANs angeht, auf smartTAN bzw. pushTAN, oder wie auch immer die jeweilige Bank das Verfahren nennt, bei dem eine Smartphone-App zum Einsatz kommt.
1 Kommentar bisher