SMS und Zwei-Faktor-Authentifizierung: Was jedes Unternehmen wissen sollte

Da Kriminelle bei ihren Bemühungen, die Verteidigung der Benutzer zu durchdringen, immer fleißiger werden, müssen Unternehmen aktiver werden, um ihre Datenintegrität zu wahren.

Kunden, die eher daran gewöhnt sind, eine E-Mail einfach so zu versenden, als würde sie per Post gehen, reagieren möglicherweise unbehaglich auf zusätzliche Schritte, die erforderlich sind. Glücklicherweise werden die Kunden immer besser informiert und der Prozess wird einfacher.

Ziel ist es, die Zwei-Faktor-Identifikation für Endverbraucher so einfach wie möglich zu machen und gleichzeitig sicherzustellen, dass es für Kriminelle schwierig ist, sie zu umgehen.

Klingt beeindruckend? Entspannen! Die Zwei-Faktor-Authentifizierung ( 2FA ) wurde entwickelt, um diese cleveren Gauner zu bekämpfen.

Wie funktioniert es?

2FA fügt Authentifizierungsprotokollen eine zusätzliche Ebene hinzu. Es kann in vielen Formen auftreten. Manchmal ist es biometrisch und erfordert, dass eine Stimme, ein Fingerabdruck, ein Netzhautscan oder ein anderes einzigartiges Element Teil der Mischung ist.

Diese erfordern eine umfangreiche Aufzeichnung und Speicherung von personenbezogenen Daten (PII), was die Gemeinkosten erheblich erhöhen und zusätzliche Sicherheitsbedenken hervorrufen kann, falls diese Speicherung jemals kompromittiert werden sollte.

Obwohl solche Techniken möglich sind, sind sie in den meisten Fällen nicht praktikabel. Stattdessen stellen Institutionen wie Banken eindeutige Ausweise aus, um (zum Beispiel) einen Geldautomaten (Geldautomaten) zu betreiben. Ohne die PIN (persönliche Identifikationsnummer) sind solche Karten nutzlos.

Diese Sicherheit beruht darauf, einen bestimmten Gegenstand zu haben und ihn mit einem bestimmten Wissen zu kombinieren. Bankkarten können verloren gehen, wenn eine Brieftasche gestohlen oder verlegt wird, aber die Karten selbst sind ohne die PIN nutzlos.

Die Zwei-Faktor-Authentifizierung erweitert das traditionelle „Benutzername“- und „Passwort“-Paradigma.

Vorteile der Zwei-Faktor-Authentifizierung

Organisierte Banden oder sogar Einzelkriminelle haben Strategien gefunden, um ansonsten schlaue Menschen dazu zu bringen, einige auffallend schlechte Entscheidungen zu treffen, wie z. B. Fremden sicheren Zugang zu gewähren oder Passwörter zu teilen.

2FA per SMS macht den Prozess für Kriminelle so schwierig, dass die Mehrheit von uns im Großen und Ganzen zu uninteressant ist, um Aufmerksamkeit zu erregen.

Einen Schritt eliminieren

Das IoT oder Internet der Dinge war ein großer Segen für die Menschheit (und in einigen Fällen auch ein Fluch). Das bedeutet, dass derzeit 5 Milliarden Smartphones im Einsatz sind und unzählige andere Geräte, die SMS-Nachrichten empfangen können.

Nach aktuellen Schätzungen tragen 21/2 Milliarden Erdbewohner mindestens ein Smartphone (abgesehen von all unseren anderen Geräten).

Es ist fast immer bei uns, in Reichweite, und wir sind ziemlich darauf angewiesen.

2FA-Dienste müssen keine diskreten Identifikationstools ausgeben; Sie müssen auch keine unnötigen Informationen über Einzelpersonen speichern.

Wir können immer noch Namen und Passwörter haben, aber jetzt, nachdem wir uns auf diese Weise identifiziert haben, kann der Dienst uns per SMS-Authentifizierung eine SMS mit einer temporären PIN senden, die in nur ein oder zwei Minuten abläuft.

Sie wissen jetzt etwas (Name und Passwort) und haben etwas (Ihr Telefon), also können Sie fortfahren. Was könnte einfacher sein?

Angst weg, Kunden werden es verwenden

Einige Unternehmen glauben, dass Kunden rebellieren und ihr Geschäft woanders hinführen werden. Als Beweis verweisen sie oft auf die Tatsache, dass nur 10 % der Gmail-Nutzer 2FA einschalten – oder genauer gesagt 90 % nicht .

Während die Verwendung von 2FA zweifellos eine gute Idee ist, müssen Sie sich des Paradigmas bewusst sein, das hier am Werk ist. Die Leute verwenden oft eine Sicherheitsfirma oder einen privaten ISP-E-Mail-Dienst für ihre „wichtigen“ E-Mails und Google Mail, um SPAM zu absorbieren und die Kommunikation mit nicht vertrauenswürdigen Websites zu ermöglichen.

Diejenigen, die es für „alles“ verwenden, neigen dazu, vorsichtiger zu sein; für den Rest lohnt sich der Mehraufwand nicht.

Kunden fordern jetzt 2FA für Finanztransaktionen

Beim Geldtransport sind die Kunden hingegen sehr viel genauer und nutzen zusätzliche Sicherheitsmaßnahmen.

Wenn Sie keine SMS-Authentifizierungsdienste anbieten , wechseln diese zu einem anderen Anbieter. Beliebte Websites wie Amazon, LinkedIn, PayPal und DropBox erfordern 2FA für Finanztransaktionen von unbekannten Geräten oder für den Austausch von personenbezogenen Daten.

Der Einfachheit halber finden Sie häufig kleine Kontrollkästchen mit der Aufschrift „Diesem Gerät vertrauen“, was bedeutet, dass zukünftigen Transaktionen über dieses Gerät automatisch vertraut wird.

Wenn Sie sich das Tablet eines Freundes ausleihen, um sich bei Ihrem Bankkonto anzumelden, müssen Sie einen einmaligen und zeitlich begrenzten Authentifizierungscode anfordern, aber auf Ihrem registrierten Gerät müssen Sie lediglich Ihr übliches Passwort und Ihren Namen verwenden.

Einige Websites verlangen, dass Sie ein Gerät nur einmal zertifizieren; andere monatlich oder jährlich. Hochsicherheitsseiten erfordern 2FA bei jedem einzelnen Login.

Herausforderungen der Zwei-Faktor-Authentifizierung

2FA ist kein Allheilmittel, da erfahrene Hacker SMS abfangen und sofort weiterleiten können – all dies, um den resultierenden Code an einen anderen Ort zu senden.

Aber „Keine Panik!“, wie uns Douglas Noel Adams einmal geraten hat. Es erfordert einen enormen Arbeitsaufwand und ist normalerweise auf unehrliche Mitarbeiter innerhalb eines GSM-Dienstanbieters beschränkt, um diese Exploit-Möglichkeiten zu schaffen.

Wenn ein erheblicher Gewinn zu erzielen ist, sind Gauner bereit, mehr Aufwand zu betreiben.

Wer Zehntausende oder Millionen (oder im Fall von Prominenten alle ihre Nacktfotos) überträgt, muss zusätzliche Vorsichtsmaßnahmen treffen, aber das betrifft die Mehrheit der Bevölkerung nicht.

Einige Systeme sind von Natur aus schwach oder werden von Kundendienstmitarbeitern bewacht, die viel zu sehr darauf bedacht sind, Passwörter zurückzusetzen. Es ist wahrscheinlich am besten, bei seriösen Unternehmen zu bleiben, die einen Markenservice nutzen.

Natürlich kann 2FA für Menschen problematisch sein, die sich verpflichtet fühlen, sich jedes Jahr ein neues Smartphone anzuschaffen. Sie müssen alle ihre Konten aktualisieren und das neue Gerät identifizieren (neue hinzufügen und alte Berechtigungen löschen), bevor sie nahtlos darauf zugreifen können. So viel kostet es, immer die neueste Technologie zu haben …

Weitere Tools für 2FA

Sie denken vielleicht, dass es bessere Werkzeuge gibt. Es gibt App-Tools wie Google Authenticator (siehe ein funktionierendes Testbeispiel hier), die gegen „SMS-Abfangen“ gesichert sind, oder, wenn Sie ein Apple-Fan sind, PUSH-Benachrichtigungen, die das SMS-System ebenfalls nicht verwenden.

Sie können so etwas verwenden, wenn es Sie anspricht. In Hochsicherheitsumgebungen gibt es noch stärkere Tools, die bei Bedarf häufig verwendet werden.

Vielleicht haben Sie zum Beispiel von einem USB-ähnlichen Schlüsselanhänger gehört, der auf Anfrage ein zufälliges Passwort generiert. Dies ist nützlich für eine Organisation, aber wesentlich weniger für den Umgang mit Tausenden von Mitgliedern der allgemeinen Öffentlichkeit.

Das wegnehmen

All dies sind großartige Systeme und überwinden alle wahrgenommenen Schwächen von SMS-gesteuerter 2FA. Die Wahrheit ist jedoch, dass diese Schwächen geringfügig und nicht unbedingt intrinsisch sind. Die Schuld liegt fast immer bei der Implementierung der Protokolle durch einzelne Kommunikationsunternehmen.

Diese Mängel werden mit der Zeit akademisch, wenn wir uns auf die Beseitigung von Schwachstellen in ausgenutzten Protokollen wie SS7 (das verwendet wird, um Roaming in verschiedenen Telefonnetzen zu ermöglichen) zubewegen.

SMS ist eine ausgezeichnete Option, weil die Leute es bereits sehr gut verstehen, es allgegenwärtig ist und das Leben von Hackern erschwert.

Schützen Sie sich und Ihre Kunden, wie wir es für Cloud Data Service getan haben, eine Web- und Softwareentwicklungsagentur, die sich auf SMS 2FA-Sicherheit verlässt, um sicherzustellen, dass die Informationen ihrer Kunden privat bleiben.

Wenn Sie einen zuverlässigen, sicheren Kommunikationskanal für Ihre Kunden wünschen, wenden Sie sich über unser Online-Kontaktformular an einen unserer TextMagic-Experten oder registrieren Sie sich für eine kostenlose Testversion, damit Sie selbst sehen können, wie es funktioniert!