{"id":9435,"date":"2024-07-11T13:12:13","date_gmt":"2024-07-11T13:12:13","guid":{"rendered":"https:\/\/byte-bucket.com\/2024\/07\/11\/ccc-warnt-vor-unsicherer-sms-2fa-codes-wurden-im-internet-veroeffentlicht\/"},"modified":"2024-07-11T13:12:13","modified_gmt":"2024-07-11T13:12:13","slug":"ccc-warnt-vor-unsicherer-sms-2fa-codes-wurden-im-internet-veroeffentlicht","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=9435","title":{"rendered":"CCC warnt vor unsicherer SMS-2FA: Codes wurden im Internet ver\u00f6ffentlicht"},"content":{"rendered":"<p>Der Chaos Computer Club (CCC) warnt davor, die Zwei-Faktor-Authentifizierung (2FA) mittels SMS zu verwenden. In einer aktuellen Warnung weist der Verein f\u00fcr Computersicherheit darauf hin, dass diese Methode unsicher ist und ein zus\u00e4tzliches Angriffsszenario erm\u00f6glicht. <\/p>\n<p>Die Zwei-Faktor-Authentifizierung wird empfohlen, um Online-Accounts optimal zu sch\u00fctzen. Durch die Verwendung dieser zus\u00e4tzlichen Sicherheitsstufe ist es erforderlich, neben dem Passwort auch einen Code zur Anmeldung einzugeben. Dieser Code wird entweder per SMS oder \u00fcber eine Authentifizierungs-App an den Accountinhaber gesendet. Dadurch reicht es nicht mehr aus, lediglich das Passwort zu kennen, um sich in ein Onlinekonto einzuloggen.<\/p>\n<p>Allerdings besteht die Gefahr, dass Angreifer SMS-Nachrichten abfangen und die Codes einsehen k\u00f6nnen. Dies kann entweder durch SIM-Swapping oder Attacken auf den Telekommunikationsstandard SS7 geschehen. Beim SIM-Swapping versuchen die Angreifer, die Kontrolle \u00fcber die SIM-Karte zu erlangen und somit die Telefonnummer und Identit\u00e4t des Opfers zu \u00fcbernehmen.<\/p>\n<p>Der CCC pr\u00e4sentiert in einem Bericht eine weitere Methode, um die Unsicherheit von SMS-basierten Einmalkennw\u00f6rtern f\u00fcr die Zwei-Faktor-Authentifizierung aufzuzeigen. Viele Unternehmen, die 2FA anbieten, nutzen einen SMS-Dienstleister f\u00fcr den Versand der Codes. Laut den Sicherheitsforschern konnten sie bei dem Anbieter IdentifyMobile fast 200 Millionen 2FA-Codes einsehen. Die Codes wurden in Echtzeit im Internet ver\u00f6ffentlicht, da der SMS-Versender die Sicherheitscodes nicht ausreichend gesch\u00fctzt hat. Durch das Erraten einer Subdomain (idmdatastore) konnten die Forscher die Einmalkennw\u00f6rter, Rufnummern und Absendernamen einsehen.<\/p>\n<p>Es ist offensichtlich, dass der Dienstleister in diesem Fall grob fahrl\u00e4ssig gehandelt und es vers\u00e4umt hat, sensible Kundendaten ausreichend zu sch\u00fctzen. Der CCC gibt an, dass \u00fcber 200 Unternehmen wie Amazon, DHL und Facebook mit IdentifyMobile zusammenarbeiten. Es ist derzeit unklar, ob auch Kriminelle Zugriff auf die Daten hatten.<\/p>\n<p>Um die Sicherheit des Accounts zu erh\u00f6hen, empfiehlt es sich, die Option zur Versendung des 2FA-Codes per SMS zu deaktivieren und stattdessen eine App wie Google Authenticator zu nutzen, die die Codes lokal auf dem Ger\u00e4t generiert. Eine alternative M\u00f6glichkeit ist die Verwendung eines Passkeys, um die Account-Sicherheit zu erh\u00f6hen.<\/p>\n<p>Schlagw\u00f6rter: SMS + CCC + Authentifizierungs-App<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Chaos Computer Club (CCC) warnt davor, die Zwei-Faktor-Authentifizierung (2FA) mittels SMS zu verwenden. In einer aktuellen Warnung weist der Verein f\u00fcr Computersicherheit darauf hin, dass diese Methode unsicher ist und ein zus\u00e4tzliches Angriffsszenario erm\u00f6glicht. Die Zwei-Faktor-Authentifizierung wird empfohlen, um Online-Accounts optimal zu sch\u00fctzen. Durch die Verwendung dieser zus\u00e4tzlichen Sicherheitsstufe&#46;&#46;&#46;<\/p>\n","protected":false},"author":4,"featured_media":9434,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-9435","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/9435","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=9435"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/9435\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/9434"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=9435"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=9435"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=9435"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}