Einwegcodes per E-Mail zu versenden ist noch schlechter als Passwörter

• In letzter Zeit haben viele Dienste die Anmeldung per 6-stelligem Code auf Basis von E-Mail oder Telefonnummer eingeführt
  • Nach Eingabe von E-Mail-Adresse/Telefonnummer wird ein 6-stelliger Bestätigungscode versendet, der dann zur Anmeldung eingegeben wird
• Dieses Verfahren führt zu schwerwiegenden Schwachstellen bei der Kontosicherheit
  • Ein Angreifer kann einfach die E-Mail-Adresse einer anderen Person in einen legitimen Dienst eingeben und so den Versand eines Bestätigungscodes auslösen
  • Für Nutzer ist oft nicht leicht erkennbar, ob ein empfangener Bestätigungscode tatsächlich in einer legitimen Situation verwendet werden soll oder Teil eines Phishing-Versuchs ist
  • Bestehende Schutzmechanismen gegen Phishing wie Password Manager sind dabei wirkungslos
• Diese Methode mit Bestätigungscodes wird in der Praxis weiterhin missbraucht
  • Auch beim von Microsoft betriebenen Minecraft-Konto-Login wird ein ähnliches Verfahren verwendet
  • In verschiedenen Online-Communities und Medien wie Reddit und YouTube wurden mehrere Fälle von Kontodiebstahl gemeldet

Fazit

Die E-Mail-Bestätigung mit 6-stelligem Code ist sicherheitstechnisch anfälliger als erwartet

• Im Vergleich zur herkömmlichen Passwort-Anmeldung steigt das Phishing-Risiko deutlich an
• Die Methode wurde zwar zur Verbesserung der Nutzererfahrung oder Sicherheit eingeführt, kann in der Praxis aber zu schlechteren Ergebnissen führen