Home » Sonstiges » NIST: SMS ist nicht sicher genug für zweistufige Anmeldungen
iPhone Nachrichten

NIST: SMS ist nicht sicher genug für zweistufige Anmeldungen

Immer mehr Dienste wollen ihre Sicherheit mit einer zweistufigen Anmeldung verbessern. Neben den klassischen Login-Daten (Benutzername und Passwort) verschicken sie auf einem unabhängigen Weg noch einen Code, der eingegeben werden muss. Aufgrund der weiten Verbreitung ist SMS recht beliebt – aber das könnte sich bald ändern.

Zweistufige Anmeldung

Unter anderem Apple verwendet die Anmeldung in zwei Stufen (2FA, Two-Factor-Authentification). Dabei kann man aus zwei Optionen wählen. Entweder lässt man sich den Code direkt auf ein vertrauenswürdiges Gerät schicken (iPhone, iPad, iPod touch oder Mac) oder man bekommt eine SMS. In beiden Fällen wird für eine erfolgreiche Anmeldung der Code benötigt.

Das National Institut for Standards and Technology (NIST), das in den USA für Technik-Standards zuständig ist, findet SMS nicht sicher genug, weshalb Anbieter davon absehen sollten, SMS zur Bestätigung zu verschicken. Wie 9to5mac erläutert, haben die Standards des NIST keine Gesetzeskraft, aber dennoch sind die Unternehmen bestrebt, den Empfehlungen zu folgen. Das ist vergleichbar mit den DIN-Normen in Deutschland.

Im aktuellen Entwurf des NIST heißt es, dass die Unternehmen sicherstellen müssen, dass die Telefonnummern mit einem Mobilfunknetzwerk verbunden sind. Virtuelle Nummern, die über ein VoIP-System laufen, könnten gehackt werden und sind deshalb nicht sicher. Weiterhin heißt es, dass die SMS „deprecated“ (es ist noch zulässig, aber ein Auslaufmodell) ist und in späteren Fassungen nicht mehr erlaubt sein wird.

Apple bietet verschiedene Möglichkeiten für die 2FA an. Man kann einen Code auf ein anderes Apple-Gerät versenden lassen, einen automatischen Anruf auf eine vertrauenswürdige Telefonnummer veranlassen oder eine SMS verschicken lassen. Die 2FA dürfte spätestens mit macOS Sierra und watchOS 3 einen stärkeren Zulauf erfahren, denn mit diesen Versionen wird es möglich sein, den Computer mit der Apple Watch (statt einem Passwort) zu entsperren. Dafür ist aber eine eingeschaltete 2FA notwendig.

Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.