Immer wieder wird uns gesagt, dass Passwörter keine zuverlässige Methode zur Sicherung unserer Konten sind. Daher haben wir schrittweise beinahe überall die Zwei-Faktor-Authentifizierung (2FA) eingeführt. Allerdings sind nicht alle Methoden von gleicher Qualität.
Das Eingeben eines zusätzlichen Codes nach der Passworteingabe ist ein Prozess, den wir lieber vermeiden würden. Leider zeigt uns die heutige Realität der schwachen Passwörter, dass wir kaum eine Wahl haben. Es gibt zwar Zugangsschlüssel, die diesen doppelten Authentifizierungsprozess, insbesondere durch biometrische Verfahren, vereinfachen, allerdings ist die allgemeine Anwendbarkeit solcher Lösungen noch begrenzt.
Es gibt verschiedene Methoden, um einen Code zu erhalten, und oft wird die Nutzung einer speziellen App oder der Empfang einer SMS angeboten. Die Verwendung einer App ist aus vielen Gründen eindeutig die bessere Wahl.
1. Schutz vor Netzwerkangriffen
Eine 2FA-App generiert die temporären Codes lokal direkt auf Ihrem Smartphone, Tablet oder Computer. Im Gegensatz zur SMS, die über das Telefonnetz versendet wird, bleibt die Codeübertragung damit vor möglichen Abhörversuchen geschützt. Obwohl Angriffe wie Mann-in-der-Mitte selten erscheinen, nehmen sie dennoch zu. Zudem sind die Algorithmen, die von 2FA-Apps verwendet werden, in der Regel so konzipiert, dass sie Angriffen mit einer schnellen Codegenerierung standhalten.
2. Immer verfügbarer Zugang
Ob auf Reisen, im Urlaub oder einfach nur unterwegs, es passiert oft, dass Sie zwar eine Internetverbindung haben, aber das Mobilfunknetz nicht stabil ist. In solchen Fällen kann das Empfangen von SMS-Codes problematisch sein, da diese häufig verspätet ankommen oder bereits abgelaufen sind. Oft müssen wir dann auf den Rückkehrcode zurückgreifen, ohne wirklich zu wissen, ob dieser noch gültig ist.
Eine dedizierte 2FA-App benötigt hingegen keine Internetverbindung und stellt somit keine Risiken dar.
3. Schutz vor SIM-Kartenwechsel
Das sogenannte „SIM-Swapping“ ist eine Technik, die zunehmend von Hackern verwendet wird. Durch Methoden des Social Engineering können Angreifer Informationen über ihre Opfer sammeln, um einen Mobilfunkanbieter zu überreden, die Telefonnummer auf eine neue SIM-Karte zu übertragen. Dies ermöglicht es den Hackern, die SMS-Codes zu empfangen. Cybersicherheitsexperte Jean-Jacques Latour warnte, dass diese Technik an Popularität gewinnen könnte, insbesondere nach einem kürzlich erfolgten Hack bei Free Mobile.
Da die Codes jedoch lokal generiert werden, sind sie nicht anfällig für diese Art von Angriff.
4. Nutzung auf mehreren Geräten
Für den Erhalt von SMS-Codes benötigen Sie unbedingt ein Mobiltelefon mit SIM-Karte. Mit einer dedizierten 2FA-App können Sie jedoch auf mehreren Geräten arbeiten. Sie müssen nicht ständig Ihr Smartphone zur Hand haben, wenn Sie sich von einem PC oder Tablet aus anmelden möchten. Darüber hinaus gibt es eine einfache Möglichkeit, die App bei einem Mobiltelefonwechsel zu übertragen.
Im umgekehrten Fall kann die App auch auf einem alten Smartphone ohne SIM-Karte installiert werden, das sicher zu Hause aufbewahrt wird, um den Zugriff auf besonders sensible Konten zu gewährleisten.
5. Zentrale Kontoverwaltung
Einmalige Codes überfluten unser SMS-Postfach und vermischen sich mit anderen Nachrichten. So sehr, dass Google sie automatisch sortiert, um sie nach Erhalt zu löschen. Mit einer 2FA-App können diese Codes hingegen zentral verwaltet werden, ohne dass die wichtige Kommunikation mit Freunden oder Familienangehörigen vermischt wird.
6. Höhere Sicherheit der Codes
Wählt man die Option, den Code per SMS zu erhalten, so beträgt die Gültigkeitsdauer dieser Codes häufig 10, 15 oder 20 Minuten. Dies legt die Möglichkeit für einen anderen Angriffstyp namens Replay-Angriff offen, bei dem ein Dritter versucht, sich während dieser Zeit mit dem erhaltenen Code erneut anzumelden. Es handelt sich hierbei nicht immer um Einmalcodes.
Im Gegensatz dazu erzeugt eine spezielle App regelmäßig alle 30 oder 60 Sekunden zeitbasierte Einmalpasswörter (TOTP), wodurch die Wahrscheinlichkeit eines Replay-Angriffs stark verringert wird.
7. Schnellere Authentifizierung
Zuletzt ist der Empfang von SMS-Codes gelegentlich unberechenbar. Manchmal kommt die Nachricht sofort an, manchmal dauert es Minuten. Die Authentifizierung über eine App verläuft einfach schneller, da die Codes fortlaufend generiert werden. Man muss die App einfach nur öffnen und in vielen Fällen sogar nur auf eine Benachrichtigung tippen.