Skip to content

Apple schlägt ein einfaches Sicherheitsupgrade für SMS 2FA-Codes vor

Die Ingenieure von Apple sind der Meinung, dass sie eine einfache Möglichkeit gefunden haben, um die Anfälligkeit von SMS-Einmalcodes (Two-Factor Authentication, 2FA) für Phishing-Angriffe zu verringern: Vereinbaren Sie ein gemeinsames Textformat, damit ihre Verwendung automatisiert werden kann, ohne dass riskante Benutzerinteraktionen erforderlich sind .

Das vom Safari WebKit-Team des Unternehmens vorgeschlagene Konzept sieht vor, dass Apps wie mobile Browser SMS-Textcodes beim Empfang automatisch verarbeiten und an die richtige Website senden.

Dies verhindert die heutige Gefahr, dass Phishingwebsites Personen dazu verleiten können, ihr Kennwort und ihren Benutzernamen einzugeben, bevor sie aufgefordert werden, den korrekten 2FA-Code, der an ihr Telefon gesendet wird, an dieselbe gefälschte Site zu senden.

Damit die Idee verwirklicht werden kann, müssen drei Probleme gelöst werden.

Das Erste davon ist, dass die heutigen Codes in einer Reihe von Textformaten gesendet werden, die das Extrahieren der richtigen 2FA-Daten und der Website-Domain erschweren.

Die 2FA-Codes von PayPal sehen beispielsweise folgendermaßen aus:

Your security code is 123456. You code expires in 5 minutes. Please don’t reply.

Oder Spielplattform Steam:

Your Steam verification code is AB1C2.

Oder Facebook:

Use 123456 to login to Facebook.

Und so weiter, mit jedem System, das leicht unterschiedliche Entsprechungen sendet, die selbst bei heuristischen Analysetechnologien nur schwer zu interpretieren sind, ohne Fehler zu machen. In den Nachrichten sind auch selten die Domänen eingebettet, auf die sich die Codes beziehen.

Apples Vorschlag ist ein leichtgewichtiges Textformat, das so einfach wie möglich gestaltet ist:

747723 is your XYZ.com authentication code. 
@XYZ.com #747723

Die erste Zeile wird verwendet, um die Nachricht an den Empfänger zu identifizieren, die zweite Zeile ist der Teil, den Apps verarbeiten würden, einschließlich der richtigen URL.

Benutzer, die einen der neuen 2FA-Texte erhalten, müssten nichts tun. Die Daten werden automatisch von der App extrahiert, die die Authentifizierung durchführt.

Auf geliehene Zeit

Nun zum zweiten Problem: Um universell zu werden, müssen sich alle großen Namen dafür anmelden. Bisher scheint nur Google interessiert zu sein, während Mozilla und Microsoft ihre Positionen noch nicht klargestellt haben.

Aber selbst wenn sie an Bord gehen, lauert ein drittes Problem, nämlich das wachsende Gefühl, dass die SMS-Textüberprüfung eine von Natur aus unsichere Idee ist, die Unternehmen nicht mehr verwenden müssen.

Eine Verbesserung der Sicherheit würde bedeuten, tiefere Bedenken wie den Betrug beim Austausch von SIM-Karten zu ignorieren, wenn Kriminelle nach der Entführung des Kontos des mobilen Benutzers Sicherheitscodes erhalten.

Vieles wird von Google abhängen, das in letzter Zeit für sicherere Alternativen zum Empfang von SMS-Codes wie Authentifizierungs-Apps, dem WebAuthn-Standard oder Hardware-Token geworben hat.

In jüngerer Zeit wurde jedoch ein pragmatischerer Ansatz gewählt und die Verbesserung der SMS-Kommunikation mithilfe von Initiativen wie „Verifizierte SMS für Nachrichten“ vorgeschlagen, mit denen Organisationen, die SMS-Nachrichten senden, authentifiziert werden sollen, theoretisch auch deren 2FA-Codes.

Dies sieht nach einer Akzeptanz aus, dass unvollkommene Sicherheitskanäle wie SMS nicht verschwinden und die Welt sie noch eine Weile nutzen wird. Dann ist es besser, ihre Sicherheit zu verbessern, solange sie bestehen.

Published inSecurity