1 Punkte von GN⁺ 2024-02-07 | 1 Kommentare | Auf WhatsApp teilen
  • Bei SIM-Swap-Angriffen bringen Täter Mobilfunkanbieter dazu, eine Telefonnummer auf ihr eigenes Gerät zu übertragen, und fangen danach SMS-Login- und Passwort-Reset-Codes ab. Der zentrale Streitpunkt ist, dass Unternehmen diesen unsicheren Weg in ihre Authentifizierungsabläufe eingebaut haben.
  • SMS werden als Klartext übertragen und sind kein Sicherheitsprotokoll. Werden sie für Passwort-Resets, Account-Recovery, Onboarding oder Login genutzt, wandert die digitale Sicherheit des Nutzers zusammen mit der übertragenen Telefonnummer ab.
  • Viele Dienste wie Apple, Google, Dropbox, PayPal, Block, Chase, Wells Fargo, Robinhood, Schwab und Bank of America nutzen oder nutzten SMS für Login, Wiederherstellung oder 2FA; Cloud-Anbieter wie Azure, AWS, Twilio und Google bieten Dienste für SMS-Einmalcodes an.
  • Bessere Alternativen sind E-Mail-basierte Resets und Authenticator-Apps wie Authy oder Google Authenticator. Selbst wenn SMS-2FA zusammen mit stärkeren Optionen nur eingeschränkt eingesetzt wird, sollte sie nicht zum Fallback für die Account-Wiederherstellung werden.
  • Seit 2024 gerät diese Annahme weiter ins Wanken, weil große US-Mobilfunkanbieter wie AT&T, T-Mobile und Verizon zusätzlich über längere Zeit durch den Angriff Salt Typhoon kompromittiert waren.

Wie SMS-basierte Authentifizierung SIM-Swap-Angriffe begünstigt

  • Bei einem SIM-Swap-Angriff fordert der Angreifer den Mobilfunkanbieter auf, die Telefonnummer des Opfers auf sein eigenes Telefon zu portieren.
    • In den USA müssen Anbieter wegen Vorgaben zur Rufnummernmitnahme zur Förderung des Wettbewerbs Nummernübertragungen vergleichsweise leicht ermöglichen.
    • Ist die Nummer erst übertragen, kann der Angreifer von Unternehmen versendete SMS-Login-Informationen oder Passwort-Reset-Codes empfangen und so auf Konten zugreifen.
  • Die Kritik an schwachem Nummernschutz bei Mobilfunkanbietern ist berechtigt, doch auch viele Unternehmen haben auf diesem schwachen Glied geschäftskritische Authentifizierungsabläufe aufgebaut.
  • Im Kern steht die Haltung: „Nur weil jemand T-Mobile, AT&T oder Verizon davon überzeugt, meine Nummer zu portieren, darf nicht meine gesamte digitale Sicherheit mitportiert werden.“

SMS wurden nicht als Authentifizierungsmittel entworfen

  • SMS sind unverschlüsselte Klartextnachrichten und können wie eine Postkarte unterwegs gelesen oder abgefangen werden.
  • Ein Protokoll, das kein Sicherheitsprotokoll ist, für Passwort-Resets, Account-Recovery, Onboarding oder Login zu verwenden, ist strukturell ungeeignet.
  • SMS-basierte 2FA gilt höchstens dann als „am wenigsten schlechte“ schwache Sicherheitsvariante, wenn sie zusätzlich zu stärkeren 2FA-Optionen angeboten wird.
    • Hauptziel der Kritik sind SMS-basierte Passwort-Resets, Nutzer-Onboarding und Account-Recovery.
  • Bessere Optionen sind E-Mail-basierte Passwort-Resets und Authenticator-Apps wie Authy oder Google Authenticator.
  • Wenn SMS als Fallback für die Account-Wiederherstellung bestehen bleiben, können selbst stärkere 2FA-Implementierungen geschwächt werden.

Wie Unternehmen SMS in Authentifizierungsabläufe eingebaut haben

  • Apple stellte 2018 auf dem iPhone die Funktion SMS passcode automatic fill vor und verstärkte damit Abläufe, in denen SMS für Passwort-Resets und Account-Login verwendet werden.
    • Es gibt Szenarien, in denen SMS beim Zurücksetzen eines Apple-Kontos verwendet werden können.
    • Auch bei der Zwei-Faktor-Authentifizierung für Apple-Entwicklerkonten kommen SMS oder Anrufe zum Einsatz.
    • Apples native 2FA-Umsetzung wird wegen des SMS-Fallbacks als geschwächt bewertet.
  • Google bot 2019 mit SMS autofill für Android das automatische Ausfüllen von Einmalcodes an.
  • Cloud-Anbieter und Messaging-Infrastrukturunternehmen haben eine SMS-Code-Industrie aufgebaut.
    • Azure, AWS, Twilio und Google bieten Dienste rund um SMS-Einmalcodes an.
    • Kritiker werfen ihnen vor, eine grundsätzlich kaputte Technik als Sicherheitslösung zu verkaufen.
  • Auch bei Finanz- und Zahlungsdiensten sind SMS-Resets, SMS-Login, SMS-2FA und SMS-basierte Account-Recovery weit verbreitet.
    • Genannt werden etwa Wells Fargo, Cash App, Robinhood, Schwab, PayPal und Bank of America.
    • Diese SMS-Optionen werden zwar als Mittel zur „Identitätsprüfung“ angeboten, begünstigen aber zugleich SIM-Swap-Angreifer.
  • Auch bei Essensbestelldiensten, sozialen Netzwerken und Datenspeicherdiensten ist SMS oft das Standardmittel zum Zurücksetzen von Konten.
    • Selbst wenn sich der Mechanismus wie bei Dropbox deaktivieren lässt, müssen Nutzer für jeden Dienst einzeln aktiv opt-out durchführen.
    • Viele Dienste bieten gar kein opt-out an.

Verantwortung für Sicherheitsdesign steht über Bequemlichkeit

  • Nutzer verstehen die Schwächen von SMS-Resets möglicherweise nicht, und es sollte nicht ihre Aufgabe sein, das selbst zu beurteilen.
  • SMS können für Nutzer bequemer sein als E-Mail-Resets oder 2FA-Apps wie Authy und deshalb bevorzugt werden.
  • Das automatische Ausfüllen von SMS auf dem iPhone wird zwar oft als gute iOS-Funktion gelobt, doch Bequemlichkeit garantiert keine Sicherheit.
  • Die Verantwortung dafür, ob ein Sicherheitssystem sicher ist und wie es entworfen wird, liegt bei Technologieunternehmen.
  • Wer behauptet, Kundensicherheit und Schutz zu priorisieren, aber SMS-basierte Authentifizierung beibehält, lässt Kunden in einem exponierten Zustand zurück.

Protokollverbesserungen und Regulierung reichen nicht aus

  • Bemühungen zur Härtung von Telefonprotokollen wie SHAKEN/STIR wurden weder vollständig übernommen noch streng genug durchgesetzt und taugen daher kaum als Rechtfertigung dafür, weiterhin SMS-Passwort-Reset-Codes zu versenden.
  • Selbst stärkere Telefonprotokolle würden SIM-Swap-Angriffe als solche nicht verhindern.
  • Die EU-Initiative Sim Verify wird als Möglichkeit genannt, mit der SMS-abhängige Unternehmen prüfen können, ob eine SIM kürzlich portiert wurde.
  • Ob eine solche Änderung in den USA kurzfristig eingeführt wird, ist unklar; die Einführung von SHAKEN/STIR zeigt, dass Veränderungen lange dauern können.
  • In Hacker-News-Kommentaren wird zudem auf starke NIST-Empfehlungen verwiesen, die mit Stand Oktober 2023 von der Nutzung von SMS oder Telefonanrufen zur Nutzeridentifikation abraten.

Seit 2024 noch höhere Risiken bei Mobilfunkanbietern

  • In einem Update wird zusammengefasst, dass große US-Mobilfunkanbieter wie AT&T, T-Mobile und Verizon durch den Angriff Salt Typhoon monatelang kompromittiert waren.
  • Diese Anbieter transportieren unverschlüsselte SMS, die in zahllosen Login-Flows, Reaktivierungen von Konten und Passwort-Resets verwendet werden.
  • Nimmt man die Kompromittierung von US-Mobilfunkanbietern und die anhaltende Bedrohung durch SIM-Swap-Angriffe zusammen, sollte man die Vorstellung aufgeben, dass SMS in irgendeinem Teil des Login-Ablaufs reale Sicherheit bieten.
  • Google wird als Beispiel genannt, das bei Gmail die Schwächen von SMS in begrenztem Umfang anerkennt und sich davon wegbewegt.
  • Chase, Block/Square und Apple werden dagegen weiterhin als Beispiele genannt, die in Teilen ihres Login-Prozesses auf SMS setzen.

Schadensfälle aus Hacker-News-Kommentaren

  • Wer in einer Region ohne SMS-Empfang unterwegs ist, kann aus seinem Konto ausgesperrt werden.
  • Problematisch sind auch Banken wie Bank of America, bei denen SMS-2FA aktiviert sein muss, damit überhaupt irgendeine 2FA aktiviert werden kann.
  • Ebenfalls genannt werden Fälle, in denen Nutzer nach einem Nummernwechsel aus Viber ausgesperrt werden oder Citibank für die Änderung der Kontotelefonnummer eine SMS-Bestätigung verlangt.
  • Wenn Mobilfunkanbieter SMS-Roaminggebühren verlangen, zahlen Nutzer dafür, auf ein unsicheres Sicherheitsmittel angewiesen zu sein.
  • Wird eine SIM wegen nicht aufgeladenem Prepaid-Guthaben gesperrt, können Nutzer keine SMS mehr empfangen und verlieren damit auch den Zugang zu Diensten, die SMS erzwingen.
  • Ein Kommentator mit Erfahrung im EU-Bankensektor bewertet SMS 2FA als weniger verbreitet als in den USA, weil SMS dort teurer sind, und zugleich als anfällig sowohl für Sicherheitsverletzungen als auch für Aussperrungen von Nutzern.

Warum wir uns von telefonnummernbasierter Identitätsprüfung lösen müssen

  • Im Zeitalter von Deepfakes werden robuste Identitätsprüfungsdienste immer wichtiger.
  • KI-basierte Dienste für gefälschte Ausweise werden massentauglich, und auch die von Finanzunternehmen und ISPs genutzte Stimmbiometrie kann angesichts von Deepfake-Audio und hartnäckigen Angreifern an Nutzen verlieren.
  • Wir müssen uns von unverschlüsselten und für SIM-Swaps anfälligen Identitätsprüfungsverfahren wie SMS lösen.
  • Auch Ransomware ist ein großes Problem für die IT, und SIM-Swap-Angriffe werden als wichtiger Vektor für die Kompromittierung von Unternehmensnetzwerken genannt.
  • Der Rückbau von SMS-Login kann demnach auch einen Teil des Ransomware-Problems entschärfen.

1 Kommentare

 
GN⁺ 2024-02-07
Hacker-News-Kommentare
  • Bevor der SMS-Müll überhandnahm, hat 1Password TOTP-Codes auf jedem Gerät, von jedem Ort aus automatisch ausgefüllt
    Jetzt muss man ständig das Handy herausholen, und selbst wenn man die Nummer gar nicht braucht, muss man zum Reisen internationales Roaming bezahlen oder SMS-Weiterleitung einrichten. Tolle Sicherheit also
    Wenn die Logik lautet, dass eine Telefonnummer jederzeit auf eine reale Identität zurückgeführt werden kann, dann sollen sie meine Nummer nicht an alle Firmen der Welt verteilen, sondern lieber Authenticator-Apps mit SMS verknüpfen

    • Das Problem ist, dass man mit Authenticator-Apps keinen relativ stabilen seiten-/appübergreifenden Identifikator bekommt, den man für Werbe-Kleingeld verkaufen kann
    • Wenn man sogar noch einen TOTP-Code-Generator in den Passwort-Manager packt, reduziert sich die Zahl der Authentifizierungsfaktoren dann nicht wieder auf 1?
    • Wenn man den Mobilfunkanbieter wechselt, ist schwer zu glauben, dass man dieselbe Nummer behalten kann; auch die Rufnummernmitnahme zwischen MVNOs war inkonsistent, und ich reise außerdem international, daher nutze ich überall eine Google-Voice-Nummer
      Aber dumme Firmen verlangen eine Telefonnummer und blockieren die Nutzung von Google Voice
    • Ich wünschte, es gäbe einen Authentifizierungs- und Identitätsdienst, bei dem man die Schwierigkeit der Wiederherstellung selbst festlegen kann
      Je nach Kosten sollte man Dinge wie das Vorzeigen eines staatlich ausgestellten Ausweises, Fingerabdruckprüfung oder sogar einen echten schnellen DNA-Test wählen können, und man sollte auch Kontobegünstigte für den Fall von Tod oder Geschäftsunfähigkeit festlegen können
      Es ist absurd, dass die heutige ultimative Identitätsprüfung von E-Mail, Google-Konten oder SMS abhängt. Alle drei sind entweder nicht sicher, bergen das Risiko willkürlicher Sperren, sind schwer wiederherzustellen oder prüfen die reale Identität nicht und sind daher anfällig für Spam
    • In Indien funktioniert eine SIM-Karte nicht mehr, wenn man nicht jeden Monat auflädt; nach 2 Monaten wird die Nummer gesperrt, und nach 90 Tagen wird sie deaktiviert und wiederverwendet
      Ein gängiges Gegenargument lautet ungefähr, dass WhatsApp Passwort-Resets und Ähnliches verhindert, wenn die Nummer 90 Tage lang ungenutzt war, also sei das okay
      Danach geht es dann weiter mit dem Argument, dass man bei der Bank einfach schriftlich eine Änderung der Handynummer beantragen könne, also sei auch das okay
  • SMS für wichtige Kontoaktionen zu verwenden, ist furchtbar

    1. Handys können verloren gehen oder gestohlen werden
    2. Menschen ziehen auch in andere Länder
    3. Es gibt SMS-Angriffe
    4. Telefonnummern werden wiederverwendet
    5. Nutzer müssen einen kostenpflichtigen Mobilfunktarif aufrechterhalten
      Bitte bindet Konten nicht an Telefonnummern
      Edit: Ich habe die erste Zeile geändert, um klarzustellen, dass ich nicht von einmaligen Benachrichtigungen o. Ä. spreche
      1. Per Definition ist man ohnehin erledigt, wenn das 2FA-Gerät gestohlen wird. Beim Authenticator ebenso. Bei SMS kann man zumindest den Carrier kontaktieren und dieselbe Nummer zurückbekommen
      2. Es gibt Roaming. Im Ausland ist der Empfang von SMS oft kostenlos
      3. Stimmt
      4. Stimmt, aber wenn man wenigstens Daten aktiv hält, ist es leicht, sie aktiv zu lassen
      5. Stimmt, aber mit der richtigen Konfiguration kostet es fast nichts. Ich halte europäische und thailändische SIM-Karten für weniger als 5 Dollar pro Jahr aktiv, und meine Google-Voice-Nummer ist seit 2009 kostenlos
        Ich stimme zu, dass man besser Authenticator und Passkeys nutzt, aber man sollte die Vorteile von SMS nicht komplett leugnen
    • Dass das Handy zur Identität einer Person wird, halte ich für ein wirklich großes Problem
      Ich sehe oft Paare, die gegenseitig die Handys benutzen und die Passwörter des anderen kennen, aber ich weiß nicht, ob ich jemandem so weit vertrauen könnte. Nicht einmal meiner eigenen Mutter würde ich mein Passwort geben, und sie hat mir nie einen Grund gegeben, ihr nicht zu vertrauen
      Das Schlimmste ist, dass das keine Wahl ist. Dienste fangen einfach plötzlich an, SMS als 2FA zu verwenden
      Ich wüsste nicht, was ich tun sollte, wenn ich meine Telefonnummer ändere. Wenn ich die alte Nummer nicht mehr kontrolliere und nicht in das Konto komme, wie soll ich sie dann auf die neue ändern? Und was, wenn ein Konto, von dem ich gar nicht daran gedacht habe, es zu aktualisieren, plötzlich eines Tages 2FA verlangt? Insgesamt ist das ein wirklich schlechtes System
    • Es ist gut, wenn Internetanbieter oder Stromversorger optional SMS bei Stromausfallwarnungen schicken und diese regelmäßig aktualisieren. Wenn man sie mit STOP beenden kann, ist das okay
      Während eines zweiwöchigen Campingtrips zog in meinem Heimatbundesstaat ein schwerer Sturm durch, und der Strom war 5 Tage weg. Ohne SMS-Benachrichtigungen hätte ich das nicht gewusst, und ich konnte direkt nach der Rückkehr Kühlschrank und Gefriertruhe leeren
    • Wenn ohnehin immer eine E-Mail-Adresse erfasst wird, finde ich es okay
      Selbst wenn das Telefon kompromittiert wird, bleibt die E-Mail erhalten
      Aus Sicht der Endnutzer ist es auch tatsächlich bequem. Selbst wenn solche Probleme nur 1 % betreffen, kann es für Milliarden Menschen trotzdem kein Problem sein. Es ist billig und bequem. Das Handy empfängt die Nachricht und füllt sie automatisch aus
      Man muss nicht die App wechseln, um E-Mails zu prüfen. Solange die E-Mail nicht kompromittiert wird, ist das Konto immer wiederherstellbar. Wenn man die E-Mail verliert, ist das schade, aber solche Dinge passieren eben, und genau deshalb sollte man regelmäßig Passwörter ändern und Multi-Faktor-Authentifizierung einrichten
      Sicherheit kann niemals 100 % sein. Das ist ein aussichtsloses Unterfangen. Es muss ausreichend bequem und ausreichend sicher sein, damit es für möglichst viele Menschen funktioniert
      Fast alle außerhalb von HN kümmert das nicht und sie verstehen es auch nicht. Sie müssen es auch nicht. Sie sollen einfach die App nutzen, ihre Aufgabe erledigen und weitermachen
      Das Backend können die Nerds regeln
    • Ich fand es schon immer unheimlich, dass Revolut die Verknüpfung mit einer Telefonnummer erzwungen hat
  • In Argentinien gab es ein großes Problem rund um Payoneer-SMS für Movistar-Nutzer. Ich wollte es auf HN posten, aber es ging unter.
    Die Übersetzung dieses aufschlussreichen Tweets [1] auf Spanisch lautet ungefähr so:
    „Das Payoneer-Rätsel ist gelöst.
    #PayoneerHacked

    • Der Angreifer kompromittierte das SMS-Gateway, das genutzt wird, um Zwei-Faktor-Authentifizierung an Movistar-Kunden zu senden. Plattformen nutzen so etwas, um Kosten zu sparen
    • Der Angreifer konnte die Zwei-Faktor-Nachrichten sehen, die bei Payoneer an Movistar-Nummern vorbeiliefen, brauchte aber die E-Mail-Adresse des Payoneer-Nutzers, um das Passwort zu ändern und Transaktionen auszuführen
    • Also baute er eine Phishing-Seite, um die E-Mail-Adresse hinter jeder Telefonnummer herauszufinden, und sammelte dort ausschließlich E-Mail-Adressen ein. Mit E-Mail + Telefonnummer + der in Echtzeit aus dem kompromittierten SMS-Gateway abgegriffenen Zwei-Faktor-Authentifizierung konnte er das Passwort ändern, sich in das Konto einloggen und Geld überweisen. Denn er konnte die an Movistar-Handys zugestellte Zwei-Faktor-Authentifizierung fortlaufend mitlesen
    • Deshalb sahen die Opfer mitten in der Nacht mehrfach echte Zwei-Faktor-SMS eintreffen, während in der Zwischenzeit ihre Konten geleert wurden
    • Selbst wenn Payoneer-Kunden auf Phishing hereingefallen wären, wäre normalerweise nur ein Teil der Zwei-Faktor-Authentifizierung kompromittiert worden, nicht alles, was für Login, das Hinzufügen eines Kontos und Überweisungen nötig ist. Gerade diese Voraussetzung zeigt, dass es eine Kompromittierung des SMS-Gateways gab
    • Die Opfer verloren Geld, weil das letzte Glied ihres Security-Stacks kompromittiert wurde
      Seid vorsichtig. Facebook, Twitter usw. teilen sich dasselbe Gateway, um SMS-Kosten zu sparen
      Ich hinterlasse Screenshots der SMS, die die Opfer im Morgengrauen erhielten. Die Opfer konnten diese mit keinem Phishing teilen, und diese SMS waren nötig, um die Konten leerzuräumen
      Was auch immer ihr in den Medien lest … es gibt viel Obst und reichlich Salat, aber wenig Sauce. Das Original steht hier
      Danke an alle für die Zusammenarbeit“
      [1] https://twitter.com/julitolopez/status/1748440685743587811
    • Der noch verrücktere Teil ist, dass Payoneer das Zurücksetzen des Kontopassworts allein mit einem per SMS gesendeten Reset-Code erlaubte, ohne dass der Besitz der E-Mail-Adresse nachgewiesen werden musste
  • Es heißt, „[Kunden] finden [SMS-Resets] bequemer als E-Mail-Resets“, aber persönlich nervt es mich jedes Mal, wenn ich mich per Telefonbestätigung in ein Google-Konto einloggen muss
    Ich muss vom Schreibtisch aufstehen und mein Handy suchen, und manchmal liegt es in einem anderen Zimmer. Nur damit ich einen Anruf oder eine Nachricht mit dem Code empfangen kann
    Im Vergleich dazu ist TOTP viel bequemer. Ich speichere die Codes in KeePassXC, daher muss ich nicht vom Schreibtisch aufstehen

  • Es ist auch wirklich miserabel, wenn man seine Telefonnummer verliert
    Ich kann mich seit Jahren nicht mehr in mein primäres Google-Konto einloggen. Ich habe Benutzername, Passwort, Wiederherstellungs-E-Mail-Adresse, und alle E-Mails werden sogar an mich weitergeleitet, aber weil die mit dem Konto verknüpfte Telefonnummer nicht mehr existiert, werde ich offensichtlich wie ein Eindringling behandelt

    • Google ist in dieser Hinsicht wirklich furchtbar. Nicht einmal die Wiederherstellungs-E-Mail-Adresse wird richtig genutzt
      Die einzige Lösung ist, in einen IP-Bereich zurückzukehren, der wie der ursprüngliche „Heim“-Standort aussieht, und zu hoffen, dass es funktioniert. Ich hätte einem Google-Mitarbeiter, der meint, es sei eine gute Sache, keinen Kontozugang und keine Wiederherstellung zu erlauben, einiges zu sagen
    • Dasselbe gilt auf Reisen. Ich wurde im Ausland schon einmal aus meinem Konto ausgeloggt und hatte keinen Zugang zu sozialen Netzwerken
    • Viele sagen, es sei in Ordnung, eine Telefonnummer zu verwenden, weil man andere Methoden als Backup nutzen könne, aber ich habe ziemlich viele Geschichten wie diese gelesen, in denen Google trotzdem alle Informationen verlangt hat, die es besitzt
    • Die EU soll eine einheitliche digitale Identitäts-Wallet bekommen. Es gibt bereits qualifizierte elektronische Signaturen
      Der Ausweis meines Landes enthält einen Chip mit Public-Key-Kryptografie. Wenn Google erlauben würde, ein Google-Konto dauerhaft mit der staatlichen Identität zu verknüpfen, würde das das Problem lösen, zumindest für EU-Bewohner
      Dann könnte man es nutzen, ohne ständig Angst haben zu müssen, einen YubiKey zu verlieren, und selbst wenn ihn jemand stiehlt, könnte man das Konto zurückbekommen
    • Ich bin sicher, das ist ein Bug. Wenn es eine Wiederherstellungs-E-Mail gibt, sollte SMS-Verifizierung nicht mehr nötig sein
      Aber Google hat keinen Helpdesk und keine Möglichkeit, Bugs zu melden. Google sollte sich schämen
  • Ich hasse es am meisten, wenn Firmen behaupten, meine Google-Voice-Nummer könne „nicht zur Verifizierung verwendet werden“ oder noch unverblümter „sei keine gültige Telefon-/Mobilfunknummer“.
    Manche Firmen haben die Registrierung mit dieser Nummer zunächst erlaubt und die Richtlinie dann irgendwann nach der Anmeldung geändert. Meist merkt man das erst, wenn man aus dem Konto ausgesperrt wird.
    Glücklicherweise waren das meistens nur Store-Apps oder Zahlungsdienste, die ich künftig einfach meiden kann. Offenbar ist ihnen mein Geschäft nicht wichtig. Aber ich sorge mich, dass meine Bank eines Tages dasselbe macht und mich aus meinem Konto aussperrt.

    • Der Grund, warum das Absaugen von Nutzer-Telefonnummern zum Profit so weit verbreitet ist, ist simpel.
      Jeder hat ein Handy, die meisten wechseln ihre Nummer kaum, und viele geben ihre Telefonnummer leichter heraus als ihre Sozialversicherungsnummer.
      Es geht ihnen nicht um Kontosicherheit oder darum, ob es eine gültige, vom Nutzer kontrollierte Nummer ist. Sie wollen die Nutzer nur eindeutig identifizieren und eine Nummer haben, die bereits in den Datenbanken der Adtech-Unternehmen steckt, die Nutzerdaten am teuersten einkaufen.
    • Nach meiner Erfahrung mit Google Voice ist es ein positives Signal, das Menschen helfen kann, wenn Google Voice nicht akzeptiert wird.
      Ich habe in einem anderen Kommentar unter diesem Beitrag etwas dazu geschrieben, warum man Google Voice nicht verwenden sollte: https://news.ycombinator.com/item?id=39270503
      Meine Erfahrungen gelten vielleicht nicht für alle, aber ich halte es weiterhin für riskant, sich auf das „kostenlose“ Google Voice zu verlassen.
    • Viber hat das bei mir gemacht. Mein Viber-Konto existierte seit 2012, und ich habe es erst bemerkt, als ich das Handy gewechselt habe.
  • Gegenargument: SMS-Login und Kontowiederherstellung bieten eine gute User Experience, und die Mobilfunkanbieter müssen insgesamt ihr Niveau anheben.

    • Überhaupt nicht, und es ist wirklich nervig im Umgang.
      Wenn ich an einem Desktop-Computer sitze, sollte man mich nicht bei jedem Login aufs Handy zwingen, nur weil man FIDO oder andere echte Zwei-Faktor-Authentifizierung nicht unterstützen will.
      Mein Laptop hat einen Fingerabdrucksensor, mein Handy hat Face ID, und am USB-Port hängt ein YubiKey. Das reicht doch.
    • Ich habe vor 11 Tagen einen Kommentar zu SMS als zweitem Faktor geschrieben, der auch allgemein gilt: https://news.ycombinator.com/item?id=39130032
      E-Mail ist eindeutig besser. Der Hauptgrund ist, dass der E-Mail-Anbieter etwas ist, das der Nutzer kontrolliert, oder etwas wie unsere benutzerdefinierten Domains für Nerds, oder ein großer, unpersönlicher Akteur wie Google. Nicht etwas, das ein Angreifer so leicht austauschen kann wie einen Telefonnummern-Anbieter.
      Ich arbeite bei einem Identitätsanbieter, und es gibt ziemlich viele Leute, die genau diese Funktion verlangen, besonders aus Sicht der User Experience.
      Wie oben gesagt, muss es auch Verantwortung auf Seiten der Telefonnummern-Anbieter geben. Wenn der Trend weitergeht, Telefonnummern als globale Kennung für offline und online durchzudrücken, dann müssen Mobilfunkanbieter bei Nummernänderungen deutlich strengere Anforderungen stellen.
    • Aus dem Artikel zitiert:
      „Jahrelang haben Leute in der Branche immer wieder so argumentiert: ‚SMS-basierte Authentifizierung anzubieten ist insgesamt besser für die Sicherheit der Kunden. Es gibt Nachteile, aber es ist bequemer als andere Methoden, etwa E-Mail-Bestätigung, die viel sicherer ist.‘ Darauf sage ich: ‚Wer seid ihr, dass ihr den Kunden Sicherheit wegnehmt?‘“
      Weiter:
      „Dass sich ein großer Teil der Wut über SIM-Swap-Angriffe gegen die Mobilfunkanbieter richtet, ist verständlich. Tatsächlich sichern Mobilfunkanbieter die Telefonnummern ihrer Kunden miserabel und könnten für dieses Versagen verantwortlich sein. Aber der Kernpunkt ist folgender: Die Sicherheit der Mobilfunkanbieter war schon immer schlecht, teils sogar wegen gesetzlicher Rahmenbedingungen, und andere Unternehmen haben sich trotzdem entschieden, geschäftskritische Systeme auf genau diesem schwachen Glied aufzubauen.“
      Weiter:
      „SMS ist sicherheitstechnisch schlecht, ermöglicht aber nahezu reibungsfreies Onboarding neuer Kunden, etwa bei Uber, und Passwortzurücksetzungen. Unternehmen hatten das Gefühl, mitziehen zu müssen, weil Wettbewerber diese Technik eingeführt haben.“
      Dieser letzte Teil wurde leider beim Aktualisieren des WordPress-Beitrags überschrieben, ich habe ihn aber wieder ergänzt.
    • SMS an eine Nummer zu schicken, die man gar nicht mehr besitzt, ist wirklich eine großartige User Experience.
    • Nicht jeder hat oder will ein Handy, und nicht jeder möchte die Kontrolle über sein Leben an einen Mobilfunkanbieter abgeben.
  • Ich stimme zu, dass SMS ein schrecklicher Mehrfaktor-Authentifizierungsfaktor ist.
    Aber von Leuten zu verlangen, eine App zu installieren, ist eine enorme Hürde, deshalb hat sich SMS verbreitet. Außerdem speichern die Leute ihre Wiederherstellungscodes praktisch nie.
    Man kann Authy verwenden und die Codes sichern, aber das ist fast schon Terrain „für Techniker“.
    Am Ende ist SMS für ganz normale Durchschnittsmenschen die einzig realistische Lösung. Man muss die Mobilfunkanbieter dazu bringen, SIM-Swaps schwieriger zu machen.

    • Die kartenausgebenden Banken in Europa haben das alle geschafft.
      Dort ist SMS glücklicherweise teuer genug, dass Banken entschieden haben, dass es als Einmalpasswort-Faktor wirtschaftlich unattraktiv ist und für Zahlungsbestätigungen allein nicht sicher genug, sodass ein zweiter Faktor nötig wurde.
      Das Ergebnis ist, dass Banken sicherere oder ergonomischere Methoden anbieten, zum Beispiel bankeigene Authentifizierungs-Apps, die oft auch ohne Internet oder Mobilfunksignal funktionieren, etwa auf internationalen Reisen, Hardware-Token, WebAuthN usw.
      Statt „SIM-Swaps schwieriger machen“ sollten Finanzunternehmen ihr Niveau anheben und Verfahren anbieten, die weder für Sicherheitsverletzungen noch für das Aussperren von Nutzern anfällig sind.
    • Meine Bank hat mich gezwungen, Symantec VIP zu installieren. Das war nicht gut.
      Für die Steuererklärung braucht man MyGovID. Das ist auch nicht gut.
    • Google Authenticator synchronisiert jetzt mit dem Google-Konto.
    • Der integrierte Passwortmanager von iOS unterstützt TOTP-Zwei-Faktor-Authentifizierung direkt im Betriebssystem, sodass keine separate App nötig ist.
  • Wenden wir dieselbe Logik doch auch anderswo an
    Ein Unternehmen, das Passwort-Logins eingeführt hat, müsste für den Diebstahl von Post-its verantwortlich sein.
    Ein Unternehmen, das E-Mail-Zwei-Faktor-Authentifizierung eingeführt hat, müsste für den Diebstahl von E-Mail-Konten verantwortlich sein.
    Ich weiß nicht, ob diese Logik trägt. Man sieht so etwas immer wieder. Es gibt Akteure, die nicht gegen das Gesetz verstoßen und bei der Rechtsdurchsetzung kooperieren können, und dann gibt es kriminelle Akteure, die deren Kunden angreifen. Da man nicht einfach mit den Fingern schnippen und den Staat dazu bringen kann, Diebstahl doppelt oder dreifach illegal zu machen, packen die Leute stattdessen meist die Unschuldigen und machen ihnen das Leben schwerer.
    Tief durchatmen und loslassen. Es gibt kein harmloses Maß daran, Unschuldige anstelle der Schuldigen zu bestrafen.
    So seltsam und verrückt es auch klingen mag: Die Person, die die SIM getauscht hat, sollte für den SIM-Swap-Angriff verantwortlich sein. Was? Man soll den Kriminellen die Schuld geben? Eine gewagte Position, aber richtig.

    • Der Unterschied zwischen SMS-Zwei-Faktor-Authentifizierung und den Beispielen ist, dass Erstere buchstäblich nicht sicher nutzbar ist.
      Soweit ich weiß, hat keiner der US-Mobilfunkanbieter für Endkunden angemessene Schutzmechanismen implementiert, um Dinge wie unautorisierte SIM-Swaps zu verhindern.
      Ein Unternehmen, das SMS-Zwei-Faktor-Authentifizierung implementiert, sollte das wissen, und wenn es Verbrauchern wissentlich ein tief fehlerhaftes Zwei-Faktor-System als „sicherer“ verkauft hat, sollte es bei einem Scheitern dafür verantwortlich sein.
      Je schneller SMS-Zwei-Faktor-Authentifizierung verschwindet, desto eher werden auch veraltete Websites, die nur SMS-Zwei-Faktor-Authentifizierung implementiert haben, gezwungen sein, tatsächlich sichere Methoden einzuführen.
    • Beim Fall 23andMe hatte ich einen ähnlichen Gedanken.
      Sie hätten es vielleicht besser machen können, aber die Versuche, sie dafür zu „bestrafen“, wirken auf mich wie eine rückwirkende Gesetzgebung. Man sollte neue Regeln schaffen und künftige Fälle ahnden, aber nicht diesen Fall.
    • Auch die Mobilfunkanbieter sollten verantwortlich gemacht werden.
    • Das ist ein Strohmann. Ob man es auf einen Post-it schreibt, kann man kontrollieren.
      Einen SIM-Swap-Angriff kann man nicht kontrollieren.
  • Aus Sicht eines Online-Dienstanbieters ergibt der Einsatz von SMS durchaus Sinn.
    Die folgenden zwei Ziele sind sehr ähnlich, aber getrennt voneinander:

    1. Nachweis des Kontobesitzes: Gehört die Person, die eine Handlung ausführen will, tatsächlich zum Konto?
    2. Begrenzung der Zahl von Konten, die von unberechtigten Nutzern erstellt werden
      SMS ist für Punkt 2 sehr wirksam. Denn kaum jemand hat Zugriff auf 100 verschiedene Telefonnummern.
      Eine Mobilfunknummer zu bekommen, beinhaltet normalerweise einen personenbezogenen Prozess, der Dinge wie Adresse, Reisepass oder Sozialversicherungsnummer erfordert. Es gibt also Hürden.
      Unternehmen verlassen sich auf SMS, weil sie die Identitätsprüfung an die Mobilfunkanbieter auslagern können. Sie nutzen es nicht, weil es die optimale oder sicherste Lösung für den Nachweis des Kontobesitzes wäre.
      Die Leute, die sich ständig beschweren, haben offensichtlich noch nie bei einem Unternehmen aus dem regulierten Bereich oder bei einem Finanzdienstleister solche Authentifizierungsentscheidungen treffen müssen.
    • Dieser Punkt ist völlig getrennt von Kontoübernahmen.
      Man kann bei der Kontoerstellung zwar eine Telefonnummer verlangen und trotzdem nicht zulassen, dass das Konto allein mit einer an diese Nummer gesendeten SMS übernommen werden kann.
    • Nur weil man genau versteht, warum Unternehmen das tun, heißt das doch nicht, dass man sich darüber freuen muss.
      Mit derselben Logik könnte man auch rechtfertigen, dass Unternehmen Nutzer verfolgen und persönliche Daten verkaufen. Sie verdienen damit Geld, und Geld zu verdienen ist ein wichtiger Teil des Geschäftsbetriebs.
    • Anders als die Behauptung, „kaum jemand hat Zugriff auf 100 verschiedene Telefonnummern“, gibt es SMS-Verifizierungsanbieter überall.
      Für sehr kleine Beträge wie 50 Cent pro Verifizierung kann man Dutzende oder Hunderte von Telefonnummern nutzen. Wer auch nur ein wenig motiviert ist, wird dadurch nicht aufgehalten.