OneSpan Blog

NIST vereinfacht die Anleitung zur SMS-Authentifizierung

Authentifizierung
David Vergara, 24. Oktober 2017

In einem Jahr kann sich vieles ändern. Wie im letzten Newsletter des AppDev Magazine veröffentlicht – also knapp ein Jahr, nachdem das Nationale Institut für Standards und Technologie (NIST) seine Anleitung dahingehend abgab, dass SMS-Nachrichten keine angemessene Sicherheit bei der Authentifizierung bieten –, nimmt das Institut seine strenge Formulierung zurück und empfiehlt neue, weniger scharfe Richtlinien.

Das NIST schlug letztes Jahr vor, SMS als Out-of-Band-Faktor bei 2FA-Vorgängen „abzulehnen“, da sich dadurch in Umgebungen der Multi-Faktor-Authentifizierung Schwachstellen ergeben könnten. „Der Begriff „ablehnen“ („deprecate“) sorgte für Verwirrung“, so Paul Grassi, leitender Normen- und Technologieberater beim NIST, „denn es war nicht klar, ob SMS 2FA nun weiterhin erlaubt war oder nicht. Im Anschluss an eine Empfehlung, die auf Richtlinien der Telekommunikations-, Finanz- und Sicherheitsbranche basierte, hat das NIST nun den Wortlaut von „deprecrecated“ auf „restricted“ („eingeschränkt“) geändert – was bedeutet, dass Organisationen oder Benutzer mit SMS 2FA ein gewisses Risiko eingehen.

Das Zielpublikum des NIST sind zwar die Bundesbehörden, aber viele kommerzielle Einrichtungen haben sich die NIST-Anleitung ebenfalls zu eigen gemacht. Auch wenn der SMS-Versand von Einmalkennwörtern laut NIST nur „eingeschränkt“ empfohlen wird, bedeutet das nicht, dass Organisationen auf 2FA ganz verzichten müssen. Andere Ansätze, z. B. der Versand von kryptografischen OTP (Einmalkennwort) als Code an ein mobiles Gerät über eine App wie Google Authenticator, die keine SMS-Kanäle nutzen, vermeiden diese Schwachstellen nämlich.

Der neue Denkansatz bedeutet jedoch nicht, dass das SMS-System insgesamt robuster und sicherer geworden ist. Textnachrichten sind (nach wie vor) nicht sicher vor den neugierigen Blicken Dritter. Es gibt (noch immer) keine Garantie, dass SMS-Nachrichten tatsächlich dort ankommen, wo sie ankommen sollen. Und zum größten Teil werden sie (nach wie vor) als unsicher eingestuft.

Angriffe auf SMS-Kanäle und den Betrug durch SIM-Kartentausch (gemeinhin als „SIM-Swap“ bezeichnet) gibt es seit fast zehn Jahren. Heutzutage kommen diese Angriffe täglich vor und betreffen alle Mobilfunkanbieter in den USA, darunter Verizon, AT&T, T-Mobile, Sprint und andere.

SMS-Betrug ist nichts Außergewöhnliches

Ein gesundes Bewusstsein für die Unzulänglichkeiten von SMS-Nachrichten soll sich jedoch nicht nur auf technische Publikationen oder Sicherheitsexperten beschränken. SMS-Betrug verbreitet sich immer mehr.

Ein einschlägiger Fall wurde vor Kurzem in einem Artikel in der New York Times beschrieben, der erörtert, wie Identitätsdiebe Handykonten übernehmen, um sich virtuelle Geldmittel zu verschaffen. Weiter wird beschrieben, wie aus der virtuellen Geldbörse eines Benutzers innerhalb von Minuten, nachdem Hacker die Kontrolle über sein Telefon erlangt hatten, annähernd 150.000 Dollar verschwanden.

Wie im Times-Artikel auch von anderen Opfern der Krypto-Betrüger erklärt, ist das zentrale Problem hier der Einsatz von SMS-Nachrichten – die von den meisten Finanzunternehmen genutzt werden, um Online-Accounts zur Bestätigung der Kundenidentität mit Telefonnummern zu verknüpfen. Jemand, der über die richtige Telefonnummer verfügt, kann Kennwörter zurückzusetzen, ohne dafür irgendwelche Originalpasswörter kennen zu müssen. Ein Hacker muss nur auf „Kennwort zurücksetzen“ klicken und kann dann direkt über die illegal übernommene Telefonnummer den erforderlichen Code auf seinem Handy empfangen.

Je nach Mobilfunkanbieter kann ein Hacker dies entweder persönlich, telefonisch oder via Online-Chat bewerkstelligen. Sobald der Hacker Kontrolle über die neue SIM-Karte hat, ist es ein Kinderspiel, SMS zu empfangen und so in Accounts einzudringen. Außerdem kann ein Betrüger, sobald er eine Telefonnummer kontrolliert, die Kennwörter all jener Accounts zurücksetzen, für die diese Telefonnummer als Sicherheits-Backup fungiert.

Adaptive Authentifizierung: Überlegene Benutzererfahrung und Wachstum durch intelligente Sicherheit
WEISSES PAPIER

Adaptive Authentifizierung: Überlegene Benutzererfahrung und Wachstum durch intelligente Sicherheit

Laden Sie dieses Dokument herunter und erreichen Sie das doppelte Ziel, Betrug zu reduzieren und den Kunden zu begeistern.

Jetzt herunterladen

Eine höhere Ebene für die Authentifizierung

Heutzutage verlassen sich die meisten Benutzer auf die SMS-Authentifizierung als Backup, um sichere Transaktionen wie etwa Kennwortänderungen durchzuführen, und sie ist als Zwei-Faktor-Authentifizierung gut geeignet, sofern es um nicht allzu kritische Aktivitäten geht. Wenn Sie sie jedoch für risikoreichere Transaktionen wie Kreditkartenänderungen, Überweisungen oder Lastschriftverfahren (bzw. für alle Ihre Transaktionen und Verfahren) verwenden, sollten Sie eine viel stärkere Form der Authentifizierung in Betracht ziehen. Wenn ein Benutzer in diesem Fall versucht, eine Aktivität zu setzen, die als kritisch bzw. risikoreich angesehen wird (z. B. eine Geldtransaktion), wird er aufgefordert, eine strengere Authentifizierungsstufe zu durchlaufen, um diese spezifische Transaktion abzuschließen.

Es sind aber leider auch „strengere“ SMS-Authentifizierungen nicht immer unproblematisch. Normalerweise werden Codes nach dem Zufallsprinzip generiert, im Backend gespeichert und an den registrierten Webdienst weitergeleitet. Es erfolgt keine Verifizierung der Telefonnummer, es wird nicht überprüft, wer im Moment über das Telefon verfügt, und es wird auch nicht bestätigt, dass eine App auf diesem spezifischen Telefon tatsächlich diese Anfrage generiert hat.

SMS – Eine realistische Perspektive

Auch wenn das NIST seine starken Einwände gegen die Verwendung von SMS als echte Zwei-Faktoren-Lösung zurückgenommen hat, sollte jedes Sicherheitsteam selbst bewerten, wie und in welchem Umfang Textnachrichten innerhalb der Organisation eingesetzt werden, und die richtigen Kontrollen einführen, um sicherzustellen, dass SMS nicht zu einer Lücke im Sicherheitssystem beitragen.

Wie der Times-Artikel veranschaulicht und wie auch die generelle Erfahrung zeigt, entwickeln sich Textnachrichten rasch zu einer Mainstream-Angriffsfläche, die mittlerweile nicht mehr nur von Hardcore-Hackern ausgenutzt wird. Denn selbst Kriminelle mit wenig technischem Scharfsinn können mit nur einem Lächeln und einem virtuellen Händedruck den SMS-Kanal zu ihrem Vorteil ausnutzen – und sich dadurch massiv bereichern.

Als Gemeinschaft müssen wir evaluieren, wie der SMS-Kanal genutzt wird und für welche Arten der Nachrichtenübertragung dieses Kommunikationsprotokoll geeignet ist. Erfahren Sie mehr dazu, wie Sie mit biometrischer Authentifizierung (z. B. gesichts-, fingerabdruck- und verhaltensbasierter Biometrie), Out-of-Band-Unterzeichnungen von Transaktionen, Push-Benachrichtigungen und Risikoanalysen SMS-Schwachstellen angehen und beheben können.

2FA NIST SMS SMS-Authentifizierung
David Vergara
David Vergara

David Vergara ist Director of Security Product Marketing bei OneSpan und er verfügt über mehr als 15 Jahre Erfahrung mit Cloud-Plattformen/SaaS, prädiktiver Analytik und fortschrittlichen Technologien für die Multifaktorauthorisierung. In seiner derzeitigen Funktion liegt sein Schwerpunkt auf der Markteinführungsstrategie und -umsetzung für alle Authentifizierungs- und Risikoanalyseproduktlinien. Bevor er zu OneSpan kam, war David für die Produkt- und Markteinführungsstrategie bei verschiedenen

Zur Spitze gehen