SMS-2FA ist nicht nur unsicher, sondern auch feindlich gegenüber Menschen in Bergregionen

 (blog.stillgreenmoss.net)
1 Punkte von GN⁺ 2025-05-15 | 1 Kommentare | Auf WhatsApp teilen
  • SMS-basierte Zwei-Faktor-Authentifizierung (2FA) ist nicht nur unsicher, sondern verursacht auch große Unannehmlichkeiten für Bewohner von Bergregionen
  • In bergigen Gegenden mit schwachem Mobilfunksignal ist es schwierig, per SMS versendete Bestätigungscodes zu empfangen
  • Allein durch WLAN-Telefonie oder die Nutzung eines Smartphones lässt sich das 2FA-Problem nicht lösen
  • TOTP (zeitbasierte Einmalpasswörter) kann eine Alternative sein, doch der Zugang zur Ersteinrichtung ist nicht einfach
  • Es wird die unzumutbare Situation beschrieben, die Millionen von Menschen in Bergregionen beim Login auf Websites erleben

Überblick über die Problemlage

  • Die Freundin des Autors ist eine Frau in ihren 70ern, die in einer Bergregion von North Carolina lebt
  • Sie mag keine Computer, nimmt aber über ihr Smartphone und Signal-Gruppenchats am Austausch in der Community teil
  • Sie hat lange ein Festnetztelefon genutzt, das gut mit ihrem Hörgerät kompatibel ist
  • Spectrum hat in der Region faktisch ein Kommunikationsmonopol, daher nutzt sie sowohl Festnetz als auch Kabelinternet über Spectrum

Probleme mit Mobilfunkdienst und SMS-2FA

  • Vor einigen Jahren hat sie einen Mobilfunkdienst bei Spectrum Mobile abgeschlossen, das das Verizon-Netz nutzt
  • Zu Hause gibt es fast kein Mobilfunksignal. Die Wohnung liegt nur 20 Autominuten von der Innenstadt entfernt und es gibt viele Nachbarn
  • Alle wichtigen Konten (E-Mail, Bank, Krankenversicherung usw.) versuchen, 2FA-Codes per SMS zu senden
  • Die SMS-Codes kommen nicht an. Zu Hause fehlt Mobilfunkempfang, und selbst bei aktivierter WLAN-Telefonie kommen Sicherheits-SMS von Kurzwahlnummern (5-stellig) nicht an
  • Sie nutzt ein aktuelles iPhone und offiziell bereitgestellte Hardware und ist mit der Bedienung vertraut

Suche nach Alternativen und ihre Grenzen

  • Bei einigen vom ISP bereitgestellten Festnetzanschlüssen gibt es eine Funktion, die SMS per Computerstimme vorliest, bei Spectrum jedoch nicht
  • Einige Websites erlauben den Wechsel zu TOTP-2FA, doch dafür ist zunächst Zugriff beim ersten Login nötig
  • Der umständliche Ablauf zur Problemlösung:
    • Eine Liste von Websites erstellen, bei denen der Login fehlschlägt
    • Zur Fehlersuche in die Stadt fahren und sich mit einem Freund treffen
    • Für jede Seite einzeln versuchen, auf TOTP oder eine andere Methode umzuschalten; manche unterstützen das nicht
    • Versuchen, den Kundendienst zu kontaktieren, was jedoch schwierig oder unmöglich ist

Praktisch unrealistische Alternativen

  • Die Rufnummer zu einem VOIP-Anbieter portieren, in der Hoffnung, dort SMS von Kurzwahlnummern empfangen zu können
  • Für mehrere hundert Dollar einen Mobilfunk-Signalverstärker installieren
  • Sogar einen Umzug in Betracht ziehen
  • Es wird als unvernünftig kritisiert, dass ein einzelner Login einen solchen Aufwand erfordert

Problematische Zuverlässigkeit von Mobilfunk-Abdeckungskarten

  • Auf der Spectrum-Abdeckungskarte wird das Haus und seine Umgebung als Bereich mit perfektem Service angezeigt
  • Tatsächlich gibt es im Haus keinen nutzbaren Dienst, und schon 100 Meter weiter ist ebenfalls kein Signal vorhanden

Gemeinsame Schwierigkeiten vieler Menschen in Bergregionen

  • Ein Freund aus der Millennial-Generation bezeichnete „SMS-2FA als Plage des Lebens“
  • Selbst in Gegenden, die nicht in einem tiefen Tal liegen, gibt es Probleme durch SMS-2FA

Grenzen und Schwierigkeiten von TOTP

  • Auch TOTP ist nicht perfekt
    • Es erfordert die Installation einer separaten App
    • Die Auswahl einer geeigneten App ist kompliziert und mit vielen technischen Erklärungen verbunden

Zusammenfassung und Größenordnung des Problems

  • SMS-2FA ist so weit verbreitet, weil die UX intuitiv und sie bis zu einem gewissen Grad zuverlässig ist
  • Doch 1,1 Millionen Menschen in den Bergregionen von North Carolina und 25 Millionen im gesamten Appalachenraum sowie viele weitere Millionen sind von schlechten Bedingungen betroffen
  • Es gibt zwar Internet, aber das Mobilfunksignal ist sehr schlecht
  • Für die Bewohner dieser Regionen fehlen vernünftige Alternativen und Rücksichtnahme

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-05-15
Hacker-News-Kommentare

  • Interessant ist, dass eine der anderen Optionen, die sie wählen könnte, darin besteht, ihre Telefonnummer zu einem VOIP-Anbieter zu portieren, der SMS über WLAN empfangen kann. Dabei zeigt sich aber, dass manche Unternehmen aus seCuRiTy-Gründen keine SMS-OTP-Codes an VOIP-Nummern senden oder verlangen, dass die Nummer auf den eigenen Namen registriert ist. Ich finde, solche Einschränkungen sollten illegal sein. Eine Nummer ist einfach nur eine Nummer. Mit aktiviertem Wi-Fi Calling empfängt man zwar SMS von Freunden oder Familie, aber 2FA-Codes kommen trotzdem nicht an. Ich dachte, SMS over IMS sei für externe Absender transparent implementiert, aber wenn man bedenkt, wie schlampig das SMS-Protokoll selbst aufgebaut ist, überrascht das nicht.

    • Ich glaube, ich kann erklären, wie das SMS-System funktioniert. Das System verschickt Nachrichten im Grunde einfach „blind“. Wenn der Empfänger offline ist oder keinen Empfang hat, speichert der betreffende Carrier die Nachricht etwa 3 bis 7 Tage. OTP-Systeme prüfen die Erreichbarkeit aber über Dinge wie die Vonage- oder Twilio-API, und diese Prüfung ist nicht perfekt. Wenn irgendetwas seltsam erscheint, wird die Nachricht gar nicht erst gesendet. Das dient dazu, Nachrichtengebühren zu sparen. Dass das auch bei bereits verifizierten Nummern angewendet wird, finde ich unsinnig.

    • Aus europäischer Sicht gilt: Nach der Finanzrichtlinie PSD2 sind für 2FA per SMS nur Nummern erlaubt, für die bereits KYC durchgeführt wurde. 2FA dient letztlich als elektronische Signatur für „etwas, das du besitzt“, und dieses Etwas ist dann die identitätsgeprüfte Telefonnummer. Außerdem ist SMS die einzige 2FA-Methode, die sich bei allen Bevölkerungsgruppen, Regionen und Endgeräten leicht einsetzen lässt.

    • Dass dieselben Unternehmen nur SMS als 2FA zulassen, aber nicht an VOIP senden, ist wirklich absurd. Wahrscheinlich gehen alle Firmen für den SMS-Versand über einen bestimmten Dienst, und dieser blockiert VOIP. Fast alle Banken verlangen zwingend SMS-2FA, während andere Stellen Apps unterstützen, was umso seltsamer ist.

    • Dass Telefonnummern im Jahr 2025 überhaupt noch eine der wenigen Möglichkeiten sind, das Sybil-Problem einigermaßen zu entschärfen, sagt einiges aus. Auch ohne echtes KYC kann man damit die Identität wenigstens bis zu einem gewissen Grad absichern.

    • Ich habe Wi-Fi Calling genau dafür genutzt, nur 2FA-SMS zu empfangen. Mit RedPocket (MVNO) und T-Mobile hat das problemlos funktioniert. In der Gegend gab es kein direktes T-Mobile-Signal, also ging SMS nur über WLAN. Der Tarif war auch günstig. Es gab allerdings typische Probleme mit älteren Handys, etwa wegen nicht unterstützter Bänder.

    • Von der Art des Nachrichteneingangs her kommen Freunde und Familie als P2P, während 2FA maschinell an Personen geht, also A2P. Diese beiden Arten werden eindeutig unterschiedlich verarbeitet.

    • Ich denke, wenn man eine Nummer zu einem VOIP-Anbieter portiert, kann die sendende Seite gar nicht unterscheiden, ob es sich um eine Mobilfunk- oder VOIP-Nummer handelt. Ich habe nach so einer Portierung weiterhin problemlos SMS-2FA erhalten.

    • Wenn man verschiedene Bankdienste nutzt, sieht man, dass manche völlig problemlos SMS-Tokens an Google Voice senden, während andere Google-Voice-SMS nur nach Freischaltung über den Kundendienst zulassen. Die Richtlinien wirken völlig zufällig. Teilweise senden sie über den normalen Kanal nichts, lesen aber denselben Code per automatischem Sprachanruf vor. Das wirkt wie reine Willkür bei den Sicherheitsrichtlinien.

    • Die Option, SMS-OTP-Codes über VOIP zu empfangen, ist letztlich eine schlechte Idee. Sie funktioniert nur eine gewisse Zeit und wird dann durch verschärfte Sicherheitsrichtlinien blockiert. All diese Maßnahmen dienen in Wirklichkeit nicht dem Schutz der Nutzer, sondern sollen die unaufhörliche Welle aus Spam- und Betrugstraffic abbremsen. Schon der Besitz einer echten Telefonnummer wird hier als eine Art „Proof of Work“ verwendet, und realistisch gibt es keine Alternative.

    • Das eigentliche Problem ist SMS selbst, daher ist die ganze Debatte sinnlos. Die Verwendung von SMS sollte an sich illegal sein.

  • Wenn man nur Mikrozellen/Femtozellen hätte, wären sie an Orten mit schwachem Signal wie zuhause oder im Büro sehr effektiv. Wenn man den Provider kontaktiert und meldet, dass das Signal schwach ist, schicken sie einem kostenlos einen AP, der Internet in Mobilfunk umwandelt. Solche Geräte haben einen RJ-45-Eingang und eine GPS-Antenne und unterstützen sogar e911-Standortdaten. Unser Laden liegt ebenfalls zwischen Metallwänden und in einem Tal, sodass man früher bis auf den Hügel steigen musste, um telefonieren zu können. Nachdem wir von jedem Carrier auf Anfrage eine Femtozelle bekommen und installiert haben, kann jetzt jeder automatisch auf das ISP-Netz umschalten und alles normal nutzen. Selbst MVNOs werden unterstützt. Allerdings kann es sein, dass man für die Nutzung einer Femtozelle statt eines MVNO den Direktdienst des Carriers braucht.

    • Es sieht so aus, als würde T-Mobile solche Mikrozellen-Hardware nicht mehr unterstützen. Siehe Support-Seite.

    • Auch Femtozellen haben Nachteile. Sie brauchen zwingend GPS-Empfang, was in bergigem Gelände problematisch sein kann. Ich habe über Jahre Femtozellen verwendet, und manchmal hören sie einfach aus unbekannten Gründen auf zu funktionieren, ohne dass man erfährt, warum.

    • Ich habe von Verizon kostenlos einen 4G-LTE-Network-Extender bekommen. Ein Problem ist, dass die Verbindung abreißt, wenn man das Haus verlässt. Einmal habe ich den Notruf 911 angerufen, während ich mich bewegte, und das Signal brach ab. Wenn man die Reichweite verlässt, bleibt das Gespräch unterbrochen, bis die Verbindung wiederhergestellt ist. Danach hat Verizon sich gemeldet, damit die Standortdaten korrigiert werden.

    • Erstaunlich ist, dass große Carrier offenbar kein Problem damit haben, wenn beliebige Leute Mobilfunkzellen bzw. Mikrozellen an ungeprüfte ISPs hängen und betreiben. Normalerweise achten diese Marken extrem auf Kontrolle, aber hier sind sie erstaunlich großzügig.

  • Beim Roaming im Ausland lasse ich die SIM-Karte in meinem Android-Handy zuhause, schließe es ans Stromnetz an und nutze eine App, die SMS per API weiterleitet. So kann ich alle SMS per E-Mail empfangen. Ich mache das seit Jahren ohne Probleme. Auch im Alltag ist es praktisch, OTP-SMS am Computer zu bekommen. MMS werden damit nicht empfangen, aber das ist egal, weil ich sie nicht brauche.

    • Ich nenne diese Methode „2FA Mule“. Ich nutze sie seit über vier Jahren, und sie funktioniert sehr gut. Gute Option.

    • Wenn das Handy Dual-SIM und WiFi Calling unterstützt, kann man im Reiseland eine reine Daten-eSIM nutzen und weiterhin SMS über die bestehende SIM empfangen.

    • Ich habe etwas Ähnliches gemacht und zuhause ein Android-Handy gelassen, während ich auf dem Laptop über einen Web-Messaging-Dienst SMS empfangen habe. Inzwischen funktioniert SMS aber auch über WiFi Calling, daher ist das nicht unbedingt mehr ein Problem.

    • Es heißt, Android-Handys könnten so geändert werden, dass sie alle drei Tage automatisch neu starten. Dann könnte diese Methode bald nicht mehr funktionieren.

    • Ich verstehe nicht, warum das mit Roaming zu tun haben soll. Ich war oft in Europa und anderswo im Roaming und hatte nie Probleme beim SMS-Empfang.

  • Dieser Artikel ist etwas nischig. Es wirkt, als wären die SMS-2FA-Codes sofort gekommen, sobald der Mobilfunkdienst aktiviert war, tatsächlich könnte es aber nötig gewesen sein, zuerst die 2FA-Registrierung abzuschließen und dann nach draußen zu gehen, damit der Code überhaupt aktiv empfangen werden konnte. TOTP ist auch nicht wirklich kompliziert. Man muss nur eine App auswählen und beim Ausdrucken der Backup-Codes helfen, dann ist das in der Regel problemlos gelöst.

  • Google Fi kann auch über WLAN alle SMS für die Zwei-Faktor-Authentifizierung empfangen, einschließlich Kurzwahlnummern. Man kann sie sogar im Webbrowser auf jedem Gerät empfangen, wenn das Handy ausgeschaltet oder kaputt ist. Ich mag diese Funktion sehr. Der Dienst beginnt bei 20 Dollar im Monat. Früher funktionierte er in ländlichen Gebieten dank der Partnerschaft mit US Cellular gut, inzwischen hat sich die Lage durch die teilweise Übernahme in Richtung T-Mobile etwas verändert.

    • Ich lebe seit 12 Jahren außerhalb der USA, und bis zur Einführung von Google Fi hatte ich ständig Probleme mit SMS. Viele Banken bestehen auf SMS-Verifizierung, und virtuelle VOIP-Nummern haben zwei Probleme: (1) manche Banken verweigern den Dienst aus Sicherheitsgründen, (2) manche können technisch keine SMS empfangen. Google Fi funktioniert sogar dann gut, wenn es keinen Mobilfunkdienst gibt, weil über WLAN umgeleitet wird. Nach einem Monat außerhalb der USA wird zwar das Datenvolumen abgeschaltet, aber allein SMS und Sprache zu haben reicht schon völlig aus.

    • Ich frage mich, ob damit RCS und „Messages for Web“ nutzbar sind. Früher musste man Fi-Sync aktivieren, damit SMS und Sprache auch bei ausgeschaltetem Handy funktionierten, aber dann wurde RCS deaktiviert. Mich würde interessieren, ob das noch immer so ist und unter welcher URL man Text und Sprache nutzen kann.

  • Ich stimme zu, dass die Erwartungen der Nutzer oft zu hoch sind. Ich hatte zum Beispiel einmal beim Mieten eines Lime-Scooters wegen einer fehlerhaften VPN-Konfiguration kein Internet und konnte die Rückgabe nicht abschließen. Aufgrund des GPS-Stopps wurde mir die Zusatzgebühr zwar erstattet, aber wenn der Handy-Akku leer gewesen wäre, hätte das übel enden können. Für solche unerwarteten Situationen unterwegs braucht man Vorsorge.

    • Wenn man die neuen DHL-Paketstationen in Deutschland benutzt, sieht man, dass sie keinen Bildschirm haben und nur per App funktionieren. Dafür braucht man gleichzeitig Bluetooth und eine Internetverbindung. Da die Station selbst Internet hat, wirkt diese Anforderung in der App unnötig.

  • Es gibt immer Aspekte, die für bestimmte Gruppen nachteilig sind. Auch bei 2FA gibt es keine perfekte Methode, und jede Variante ist auf ihre Weise unbequem. SMS-2FA ist sicherheitstechnisch schwach, aber am weitesten verbreitet und am einfachsten wiederherzustellen. TOTP-Apps sind sicherer, aber bei Geräteverlust oder Gerätewechsel schwerer wiederherzustellen. Hardware-Token wie Yubikey kosten Geld und haben ebenfalls Wiederherstellungsprobleme. Die zuverlässigste Lösung wäre aus meiner Sicht ein vom Bundesstaat zentral betriebenes Hardware-Authentifizierungssystem (das US-Verteidigungsministerium nutzt tatsächlich CaC-Karten), aber in den USA wäre so etwas wegen Datenschutzdebatten und Budgetfragen politisch sehr schwer umsetzbar. SMS-2FA ist für abgelegene Regionen nachteilig, aber eigentlich ist keine 2FA-Lösung perfekt.

    • Datenschutz bei Authentifizierung ist in bestimmten Situationen wichtig, etwa beim Wählen. In Fällen wie Banking, in denen man eindeutig nachweisen muss, wer man ist, halte ich Datenschutzbedenken dagegen für weit weniger relevant.

    • Yubikeys und Ähnliches wirken vielleicht schwer wiederherstellbar, aber wenn man mehrere registriert, kann man nach dem Verlust eines Schlüssels einfach mit einem anderen einen neuen registrieren.

  • Wenn man die Google-Voice-App installiert, unterstützen einige 2FA-Dienste sie, andere aber nicht. Manche Dienste lehnen GV-Nummern ab. GV kann SMS über WLAN empfangen. Wenn man beim Mobilfunkanbieter nach einer Femtozelle fragt, war das früher günstig, inzwischen sind sie aber eingestellt und kosten teilweise bis zu 2500 Dollar. Man kann sich auch bei mightytext.net anmelden und SMS am Computer empfangen, wobei ich nicht sicher bin, ob das auch ohne Mobilfunksignal funktioniert. Ich nutze es, weil SMS über eine Laptop-Tastatur angenehmer zu schreiben sind als mit dem Finger.

    • Man kann auch ein USB-Modem an einen Computer anschließen, es an einem Ort mit Empfang aufstellen und dann über das Internet darauf zugreifen. Ich selbst nutze so etwas andersherum mit einem Raspberry Pi für Fernüberwachung und habe in der Prototyp-Phase auch SMS geparst. Nicht für jeden geeignet, aber passend zu HN wollte ich es erwähnen.

    • mightytext.net funktioniert nicht, wenn das Handy keinen Empfang hat. Das Weiterleiten von SMS kann nur der Carrier selbst übernehmen. Es ist auch schwierig, so etwas mit allen US-Carriern zu integrieren, und es gibt technische Einschränkungen. Nur Apples Satelliten-SMS-Dienst kann direkt auf SMS-Router zugreifen und dadurch weiterleiten.

    • Einer der Vorteile dieses Ansatzes ist, dass man den Zugriff auf SMS selbst mit MFA absichern kann.

  • TOTP, HOTP usw. lassen sich ohne personenbezogene Identifikationsdaten wie Telefonnummern umsetzen. Für SMS braucht man eine Nummer, und wenn diese Nummer mit den eigenen persönlichen Daten verknüpft ist, wird sie für Marketing oder Datenaggregation deutlich wertvoller.

    • Die meisten Stellen, die SMS-Verifizierung verlangen, kennen ohnehin bereits persönliche Daten wie Namen und Adresse, etwa im Finanzwesen, bei Lizenzen oder im Gesundheitsbereich. Deshalb ist die Debatte über Datensammlung für Marketingzwecke in der Praxis oft wenig relevant. Wenn etwas wie TikTok unbedingt eine Nummer will, nutze ich eine Wegwerfnummer oder lehne es ab.

    • TOTP/HOTP bieten nicht die WYSIWYS-Eigenschaft im Sinne von „Ich möchte diesen Betrag bei diesem Händler bezahlen“. Gerade bei Bankzahlungen braucht man eine direkte Bestätigung. In der EU kann WYSIWYS sogar regulatorisch vorgeschrieben sein, weshalb man als Übergangslösung bankeigene Apps braucht. Mit heutigen Standards wie WebAuthN allein reicht das nicht; meiner Meinung nach braucht es neue Verfahren wie SPC-Erweiterungen und Hardware-Authentifikatoren.

  • Ich lebe ebenfalls auf dem Land und habe gelegentlich das Problem, dass SMS-Codes nicht ankommen. An manchen Tagen klappt es, an anderen nicht, und ich wusste nie, warum. Dieser Beitrag erklärt die Ursache sehr klar. Ich nutze normalerweise Spectrum sowohl für WLAN als auch für Mobilfunk, und je nach Signalstärke war ich dadurch stärker auf WLAN angewiesen, was offenbar zu diesem Verhalten geführt hat.