Ist der SMS als Identifikation bald out?
Das US-National Institute for Standards and Technology stuft im jüngsten Draft seiner Authentication Guideline die SMS-Verwendung als zusätzliche Identifikation als nicht sicher ein. Alternativen drängen auf den Markt.
Wer seine Finanzgeschäfte über den virtuellen Bankschalter seines Computers abwickelt, muss sich aus Sicherheitsgründen beim Login mehrmals „ausweisen“. Als zusätzliche Identifikation wird immer noch fleissig der Short Message Service (SMS) verwendet. Aber nicht nur beim E-Banking: Auch für andere Anwendungen mit heiklen Daten kommt der SMS zum Zug. Doch laut Martin Fabini vom IT-Unternehmen ti&m liegen die Nachteile dieser Identifikation auf der Hand. Fabini begründet dies anhand folgender „Mängelliste“: Das Mobilnetz als Übertragungskanal ist unsicher und die Verschlüsselung ist ungenügend – sie ist auf dem Stand des Jahres 1999. Zudem öffnet eine fehleranfällige Benutzereingabe des SMS-Codes für die Rückbestätigung Tür und Tor für eine Kompromittierung des Verfahrens.
Für Fabini ist klar, dass die Industrie den Empfehlungen des US-National Institute for Standards and Technology Folge leisten wird. Sein IT-Unternehmen geht deshalb davon aus, dass das SMS-Verfahrens als Zweitidentifizierung massiv an Bedeutung verlieren wird.
Sichere Voice Biometrie als Alternative
Als Alternative plädieren die Experten des Anbieters deshalb für ein Verfahren, das mit dem Scan eines QR-Codes und der anschliessenden hochverschlüsselten und automatischen Rückmeldung des Tokens diese Schwachstellen löst. Zusätzlich sei das lokale Schlüsselmaterial auf dem mobilen Device durch PIN oder Fingerprint gesichert. Mehr noch: Der Zugriff auf das Schlüsselmaterial könne nun auch mittels „Voice Biometrie“ gesichert werden. Genau wie der Fingerabdruck oder die Iris des Auges sei auch die Stimme eines jeden Menschen einzigartig. Doch der grosse Vorteil von „Voice“ gegenüber den anderen biometrischen Verfahren sei, dass man kein Endgerät mit einem Fingerabruck-Scanner oder einer Kamera brauche, um sich zu identifizieren, schreibt ti&m. Zudem finde der Identifizierungsprozess der Stimme beim E-Banking auf der Bank und nicht beim Kunden statt. Unbestritten, das verringert Manipulationsmöglichkeiten. (rs)
Für weitere Infos: https://9to5mac.com/2016/07/26/sms-too-insecure-for-2fa/
