SMS-basierte 2FA ist unsicher

Q: Welche sind die stärksten Arten von 2FA?

Die sichersten zweiten Faktoren sind diejenigen, die phishing-resistent sind und nicht leicht abgefangen werden können. Dazu gehören FIDO2/WebAuthn-Sicherheitsschlüssel (z. B. YubiKey, Titan Security Key), TOTP-basierte Authenticator-Apps (Google Authenticator, Authy) und Passkeys. SMS-basierte 2FA und E-Mail-basierte 2FA sind schwächer und sollten, wenn möglich, vermieden werden.

Q: Warum gilt SMS-basierte 2FA als unsicher?

SMS-basierte 2FA ist anfällig für SIM-Swap-Angriffe, SS7-Exploits und Phishing. Angreifer können Ihre Telefonnummer kapern und Authentifizierungscodes abfangen, was sie zu einer unzuverlässigen Form der Sicherheit macht. Verwenden Sie stattdessen eine sicherere Option wie einen Hardware-Schlüssel oder eine TOTP Authenticator-App.

Q: Was passiert, wenn ich meinen zweiten Faktor (z. B. Telefon, YubiKey) verliere?

Wenn Sie den Zugang zu Ihrem zweiten Faktor verlieren, umfassen die Wiederherstellungsoptionen die Verwendung von Backup-Codes, die Ihnen vom Dienst bereitgestellt werden, die Verwendung eines Backup-Authentifizierungsgeräts oder das Kontaktieren des Supports zur Kontowiederherstellung. Es wird empfohlen, mehrere Authentifizierungsmethoden einzurichten, um den Ausschluss zu verhindern.

Warum Psono SMS-basierte 2FA vermeidet und sich auf stärkere Authentifizierungsmethoden konzentriert

Wenn es darum geht, Ihre Passwörter und sensiblen Daten zu schützen, sind nicht alle Zwei-Faktor-Authentifizierungsmethoden (2FA) gleich. Viele Dienste bieten immer noch SMS-basierte 2FA an, aber sicherheitsbewusste Plattformen wie Psono vermeiden diese vollständig und bevorzugen stärkere Optionen wie WebAuthn, YubiKey und TOTP (zeitbasierte Einmalpasswörter).

Dies ist nicht nur eine Präferenz, sondern eine Notwendigkeit für robuste Sicherheit. SMS-basierte 2FA weist erhebliche Schwachstellen auf, und Angriffe in der realen Welt haben gezeigt, dass es ein einfaches Ziel für Hacker ist. In diesem Blogbeitrag werden wir erläutern, warum SMS-2FA schwach ist, und Angriffe aus der realen Welt, die ihre Mängel aufzeigen, hervorheben.

🔒 Die Schwächen der SMS-basierten 2FA

Die SMS-basierte Authentifizierung ist anfällig für mehrere Angriffsarten, darunter:

SIM-Swapping – Angreifer täuschen Mobilfunkanbieter, um die Telefonnummer eines Opfers auf eine neue SIM-Karte zu übertragen und alle SMS-Codes abzufangen.
SS7-Angriffe – Ausnutzen von Schwächen im globalen Signaling System No. 7 (SS7)-Protokoll, um SMS-Nachrichten aus der Ferne abzufangen.
Phishing & Social Engineering – Benutzer dazu bringen, SMS-basierte Codes über gefälschte Anmeldeseiten preiszugeben.

Diese Risiken machen die SMS-basierte 2FA zu einer der schwächsten Formen der Authentifizierung.

🛡️ Warum Psono stärkere 2FA verwendet

Psono legt großen Wert auf Sicherheit und unterstützt nur robuste 2FA-Methoden, einschließlich:

WebAuthn (FIDO2) – Verwendet öffentliche Schlüssel-Kryptografie und Biometrie oder Hardware-Sicherheitsschlüssel (z. B. YubiKey).
YubiKey & andere Sicherheitsschlüssel – Physische Token, die direkten Zugriff erfordern, um zu authentifizieren.
TOTP (Google Authenticator, Authy usw.) – Einmalpasswörter, die auf einem Gerät generiert und nicht per SMS übertragen werden.

Diese Methoden sind erheblich sicherer, da sie phishing-resistent sind, nicht auf Mobilfunkanbieter angewiesen sind und Fernübernahme-Risiken eliminieren.

📢 Angriffe auf SMS-2FA in der realen Welt

Um zu verdeutlichen, warum Psono SMS-basierte Authentifizierung ablehnt, hier einige Angriffe aus der realen Welt, die ihre Schwächen ausnutzten:

1. Chinas Angriffe auf US-Telekommunikation (SS7-Exploits & mehr)

Im Februar 2024 gaben das FBI und die CISA eine gemeinsame Warnung vor chinesischen staatlich unterstützten Hackern aus, die kommerzielle Telekommunikationsnetze angriffen. Diese Angriffe nutzten Schwachstellen im SS7-Protokoll aus - dem Protokoll, das für die Zustellung von SMS-Nachrichten verwendet wird. Die Angreifer konnten Authentifizierungsnachrichten abfangen, was zeigt, wie SMS-2FA systematisch kompromittiert werden kann.

2. Twitter (X) CEO Jack Dorseys SIM-Swap-Angriff (2019)

2019 wurde der damalige Twitter-CEO Jack Dorsey durch einen SIM-Swap-Angriff gehackt. Hacker brachten seinen Mobilfunkanbieter dazu, seine Telefonnummer auf ihre SIM-Karte zu übertragen, was ihnen ermöglichte, 2FA-SMS-Codes abzufangen und die Kontrolle über sein Twitter-Konto zu übernehmen.

3. Coinbase SIM-Swap-Angriffe (2021) – Tausende von Dollar gestohlen

Im Jahr 2021 gab Coinbase bekannt, dass über 6.000 Kunden durch einen **massiven SIM-Swap-Angriff Gelder verloren haben. Hacker *setzten die Passwörter der Opfer mithilfe abgefangener SMS-Codes zurück\*, erhielten die volle Kontrolle über die Konten und stahlen Kryptowährungen.

4. Reddit-Datenleck 2018 – SMS-2FA versagte

Im Jahr 2018 erlitt Reddit ein Datenleck, bei dem Hacker trotz aktivierter SMS-basierter 2FA Zugriff auf Mitarbeiterkonten erhielten. Angreifer nutzten abgefangene SMS-Codes, um die Authentifizierung zu umgehen, und legten so sensible Benutzerdaten offen.

🚀 Die Zukunft der 2FA: Gehen Sie über SMS hinaus

Wenn Sie immer noch SMS-basierte 2FA verwenden, ist es an der Zeit, zu einer stärkeren Alternative wie WebAuthn, YubiKey oder TOTP-basierte Authentifizierung zu wechseln. Psonos Engagement für Sicherheit bedeutet, dass es keine Kompromisse eingeht, indem es SMS-basierte Authentifizierung anbietet.

Möchten Sie sicher bleiben? Verwenden Sie Hardware-Sicherheitsschlüssel, TOTP-Apps oder biometrische Authentifizierung – verlassen Sie sich niemals allein auf SMS-basierte Authentifizierung.

Sichern Sie Ihre Konten auf die richtige Weise – verzichten Sie auf SMS-2FA!

Häufig gestellte Fragen zur Zwei-Faktor-Authentifizierung (2FA)

Was ist Zwei-Faktor-Authentifizierung (2FA) und warum ist sie wichtig?

Die Zwei-Faktor-Authentifizierung (2FA) ist eine zusätzliche Sicherheitsebene, die zwei Formen der Authentifizierung erfordert, bevor Zugang zu einem Konto gewährt wird. Anstatt nur ein Passwort zu verwenden, benötigen Sie auch einen zweiten Faktor, wie beispielsweise:

Einen Einmalcode aus einer Authenticator-App (TOTP)
Einen Hardware-Sicherheitsschlüssel (z. B. YubiKey, Titan Security Key)
Biometrische Authentifizierung (Fingerabdruck, Gesichtserkennung)

Dies reduziert erheblich das Risiko unbefugten Zugriffs, selbst wenn ein Angreifer Ihr Passwort erhält.

Welche sind die stärksten Arten von 2FA?

Die sichersten zweiten Faktoren sind diejenigen, die phishing-resistent und nicht leicht abzufangen sind. Diese umfassen:

✅ FIDO2/WebAuthn-Sicherheitsschlüssel (z. B. YubiKey, Titan Security Key)
✅ TOTP-basierte Authenticator-Apps (Google Authenticator, Authy, Aegis)
✅ Passkeys (passwortlose Authentifizierung mit Biometrie oder Hardware-Sicherheitsschlüsseln)

Schwächere Methoden (zu vermeiden):

❌ SMS-basierte 2FA – Anfällig für SIM-Swap-Angriffe und SS7-Exploits
❌ E-Mail-basierte 2FA – Kann kompromittiert werden, wenn Ihr E-Mail-Konto gehackt wird

Warum gilt SMS-basierte 2FA als unsicher?

SMS-basierte 2FA ist anfällig für mehrere Angriffsarten, wie:

SIM-Swap-Angriffe – Hacker bringen Ihren Mobilfunkanbieter dazu, Ihre Nummer auf ihre SIM-Karte zu übertragen, was ihnen ermöglicht, Ihre 2FA-Codes zu empfangen.
SS7-Exploits – Angreifer fangen SMS-Nachrichten ab, indem sie Schwachstellen der Telekommunikationsinfrastruktur ausnutzen.
Phishing-Angriffe – Gefälschte Webseiten bringen Benutzer dazu, ihre SMS-Codes einzugeben, was Angreifern ermöglicht, sich einzuloggen.

🔹 Bessere Alternativen: Verwenden Sie Hardware-Sicherheitsschlüssel oder TOTP-Apps anstelle von SMS-2FA.

Was passiert, wenn ich meinen zweiten Faktor (z. B. Telefon, YubiKey) verliere?

Wenn Sie den Zugang zu Ihrem zweiten Faktor verlieren, können Sie Ihr Konto wie folgt wiederherstellen:

Verwendung von Backup-Codes – Viele Dienste stellen bei der Einrichtung von 2FA Einmal-Backup-Codes zur Verfügung. Speichern Sie diese sicher.
Verwendung eines Backup-Geräts – Einige Authenticator-Apps erlauben es, TOTP-Codes auf mehreren Geräten zu speichern.
Kontaktaufnahme mit dem Support – Einige Dienste bieten Kontowiederherstellung an, dies kann jedoch langsam sein und erfordert einen Identitätsnachweis.
Verwendung eines zweiten Hardware-Schlüssels – Wenn Ihr Dienst dies unterstützt, registrieren Sie mehrere Sicherheitsschlüssel (Haupt- und Sicherheitskopie).

🔹 Pro-Tipp: Richten Sie immer mehrere Authentifizierungsmethoden ein, für den Fall, dass eine scheitert.

Können Hacker 2FA umgehen?

Während 2FA die Sicherheit erheblich verbessert, können einige Methoden mit fortgeschrittenen Angriffen umgangen werden:

🚨 Häufige Angriffsmethoden:

Phishing-Angriffe – Gefälschte Anmeldeseiten bringen Benutzer dazu, sowohl ihr Passwort als auch ihren 2FA-Code einzugeben.
Man-in-the-Middle (MitM) Angriffe – Abfangen von Authentifizierungstoken über unsichere Netzwerke.
SIM-Swapping – Weiterleitung von SMS-Codes an das Telefon eines Angreifers.

✅ Wie man es verhindert:

Verwenden Sie phishing-resistente Authentifizierung (WebAuthn, Passkeys, Sicherheitsschlüssel).
Aktivieren Sie gerätegebundene Authentifizierung (sodass Tokens nicht remote wiederverwendet werden können).
Seien Sie vorsichtig bei verdächtigen Anmeldeseiten – Überprüfen Sie immer die URLs, bevor Sie Anmeldeinformationen eingeben.

geschrieben von Sascha Pfeiffer am February 12, 2025

Auf der Suche nach mehr?

Schauen Sie sich unsere neuesten Artikel hier an!