In einem
Blogpost äussert sich Microsoft äusserst kritisch zur bei manchen Online-Diensten nach wie vor üblichen Zwei-Faktor-Authentifikation per SMS oder Voice-Telefonie. Dabei handle es sich um die unsicherste Methode, ein zweites Authentifizierungsmerkmal zu übermitteln, hält Alex Weinert, Partner Director of Identity Security bei
Microsoft, in seinem Beitrag fest. SMS- und Voice-Protokolle seien ohne Verschlüsselung entwickelt worden, und die Übermittlungen könnten zum Beispiel durch Abhören der Funksignale mit einem Software-defined-Radioempfänger ausspioniert werden.
Dementsprechend gibt es zahlreiche SMS-Exploits vom Abhören bis zum Social Engineering bei Supportmitarbeitenden der Telcos, die sehr einfach zu nutzen sind. Völlig nutzlos, da allgemein einsehbar, ist ein SMS-One-Time-Passwort auch, wenn es auf dem Sperrbildschirm eines Smartphones erscheint – relevant etwa bei gestohlenen Geräten.
Stattdessen empfiehlt Weinert die Nutzung von Authenticator-Apps, in seinem Fall natürlich des Microsoft Authenticator. Dabei kommt verschlüsselte Kommunikation zum Einsatz, die auch bidirektional erfolgt, sodass der Authentifizierungsstatus auf beiden Seiten geprüft werden kann. Praktisch alle Banken sind ja bereits von der SMS-TAN zu eigenen Authenticator-Apps übergegangen. Eine Ausnahme ist zum Beispiel Paypal, wo die 2FA nach wie vor via SMS erfolgt. Gemäss Weinert ist es jetzt Zeit, dass auch andere Online-Dienste diese Form der Zwei-Faktor-Authentifizierung nutzen und SMS den Rücken kehren.
(ubi)