Veröffentlicht inRatgeber

Warum Zwei-Wege-Authentifizierung (2FA) nicht immer sicher ist

Die Zwei-Wege-Authentifizierung gilt als besonders sicher. Allerdings gebe es einige Ausnahmen, warnen Experten.

Schloss auf Tastatur
© ReadyElements form PxHere

Die Zwei-Faktor-Authentifizierung (kurz 2FA) bietet Ihnen doppelten Schutz. Denn damit wird besonders gründlich überprüft, ob Sie wirklich die Person sind, für die Sie sich ausgeben, wenn Sie sich bei Ihren Online-Konten bei der Bank, bei Zahlungsdiensten, im Postfach oder sozialen Medien anmelden. Dazu müssen Sie wissen: Im Normalfall genügt es, wenn Sie sich mit einem Benutzernamen und einem Passwort bei einem Online-Konto anmelden, also mithilfe einer Einzelfaktor-Authentifizierung. Bei 2FA müssen Sie zwei Dinge angeben bevor Sie Zugriff erhalten – Ihr Anmeldaten und zusätzlich etwas anderes. Möglich sind zum Beispiel:

  • Codes, die an Ihr Smartphone gesendet werden
  • Sicherheitsabfragen, auf die nur Sie die Antworten kennen
  • Ein spezielles Programm, etwa eine Authenticator-App
  • Biometrie, etwa Fingerabdruck, Spracherkennung oder Augenscan

2FA ist Ihr neuer Hausschlüssel

Wozu der Aufwand? Ganz einfach. Die Kombination aus Benutzername und Passwort für Anmeldung ist schlicht und einfach nicht sicher genug.  Selbst das komplizierteste Passwort kann etwa Ihr E-Mail-Konto nicht vor einem Eindringling schützen, wenn es erst einmal durch einen Datendiebstahl in die Hände von Kriminellen gelangt ist. Betrachten Sie Ihre Zugangsdaten am besten wie Ihren Haustürschlüssel zu Ihren Internet-Diensten: Sie schützen Ihr E-Mail-Postfach, das Konto im Online-Shop und Ihre Daten in der Cloud vor unbefugtem Zugriff. Gelingt es einem Kriminellem, Zugriff zu bekommen, ist das eine ernstzunehmende Gefahr. Denn dann kann er bequem von zuhause aus in aller Ruhe zum Beispiel Ihre E-Mail nach verwertbarem Material durchforsten, oder Passwörter von anderen Diensten anfordern und so auch diese kapern.  Das betrifft Sie sowieso nicht? Seien Sie sich nicht so sicher: In einschlägigen Kreisen kursieren Milliarden Nutzerdaten.



2FA: Immer mehr Anbieter machen mit

Aus diesem Grund bieten immer mehr Online-Anbieter Zwei-Faktor-Authentifizierung an. Ist diese aktiv, können Angreifer zum Beispiel nicht mehr in Ihr Postfach einklinken, wenn sie ihr Anmeldedaten in die Finger bekommen haben. Denn dazu müssten sie etwa zusätzlich auch Ihr Smartphone kontrollieren oder über Ihren Fingerabdruck verfügen – schwierig bis unmöglich.

2FA bei Microsoft
Auch Microsoft empfiehlt den Schutz der eigenen Konten durch 2FA.

Microsoft warnt vor 2FA-Schwachstelle

Also alles sicher mit 2FA? Nein, Microsoft rät Anwendern dringend davon ab, bei dem Verfahren auf telefonbasierte Authentifizierungslösungen wie Einmalcodes, die per SMS und Sprachanruf gesendet werden, zu setzen. Die Warnung kommt von Alex Weinert, Director of Identity Security bei Microsoft. In einem Blogpost äußerte Weinert, dass Benutzer, die die Wahl zwischen verschiedenen 2FA-Lösungen hätten, sich auf jeden Fall gegen die telefonbasierten entscheiden sollten. Warum? Der Microsoft-Manager nennt verschiedene Probleme, die in erster Linie die Sicherheit der Telefonnetzwerke betreffen. So werden laut Weinert sowohl SMS als auch Sprachanrufe im Klartext übertragen und könnten so von versierten Angreifern leicht abgefangen werden. Möglich würden das spezialisierte Techniken und Programme machen. So ließen sich etwa SMS-basierte Einmal-Codes sind über Open-Source- und leicht verfügbare Phishing-Tools wie Modlishka, CredSniper oder Evilginx phishbar abfangen.

SMS- und Anruf-basiertes 2FA ist unsicher

Darüber hinaus sei Social Engineering ein Thema, wodurch Mitarbeiter von Telefonnetzen dazu gebracht werden, Telefonnummern auf die SIM-Karte eines Bedrohungsakteurs zu übertragen. Ein weiteres Problem sind Angriffe, die Experten als SIM-Swapping bezeichnen. Dadurch haben Angreifer Zugriff auf fremde Handy-Nummern und können auf diese Weise Nachrichten inklusive 2FA-Einmalcodes abfischen. Nicht zuletzt seien Telefonnetzwerke auch wechselnden Vorschriften, Ausfallzeiten und Leistungsproblemen ausgesetzt, was die Verfügbarkeit des 2FA-Mechanismus insgesamt beeinträchtige. Im schlechtesten Fall könnten sich Nutzer nicht authentifizieren. All diese Faktoren machten SMS- und Anruf-basiertes 2FA “zu den unsichersten der heute verfügbaren Methoden”, schlussfolgert Weinert. Demzufolge sollten Nutzer einen stärkeren 2FA-Mechanismus für ihre Konten aktivieren, beispielsweise eine Authenticator-App wie Microsofts Authenticator oder Authy. Für ein Ultimum an Sicherheit empfiehlt Weinert Hardware-Sicherheitsschlüssel, wie den YubiKey 5 NFC

PC-Token
Machen 2FA besonders sicher: Hardware-Token wie dieser von Yubico. © Yubico

Fazit

2FA ist nicht gleich 2FA. Zwei-Faktor-Authentifizierung per SMS oder sprachbasiert ist immer noch sicherer als ohne 2FA, andere Methoden wie Apps und Hardware-Schlüssel sind aber noch besser.