Bei 9to5Mac kann man nachlesen, dass das NIST im aktuellen Draft zum Thema Two-Factor-Authentification (2FA) die Übermittlung des zweiten Faktors, also eines zusätzlichen Codes zu Username und Passwort beim Login, in Zukunft nicht mehr erlauben will. Zwar handelt es sich hier nicht um Vorschriften mit Gesetzeskraft, aber Unternehmen, die in den USA Geschäfte machen sind aus nachvollziehbaren Gründen darum bemüht, die Standardvorgaben des NIST auch einzuhalten. Daher ist damit zu rechnen, dass Anbieter wie Apple in Zukunft auf die Option den Code per SMS zuzuschicken verzichten werden.
Sollte jemand wirklich noch nie von Zwei-Faktor-Authentifizierung gehört haben: Bei dieser Art der Anmeldung wird die Anmeldung zum Beispiel auf einer Website über einen zusätzlichen Code gesichert. Dieser Code kann zum Beispiel in einer speziellen App anhand eines anfangs ausgetauschten Codes errechnet werden oder eben vom Dienstanbieter an den Nutzer per App oder SMS übermittelt werden.
Google oder Facebook setzen hier auf die Berechnung eines Codes, Facebook hat die Codeberechnung in die mobilen Apps integriert, bei Google gibt es dafür eine eigene App. Wobei der Mechanismus bei Google offen ist, es können also auch andere als die Google-App verwendet werden (zum Beispiel auf einer Pebble). Apple setzt dagegen auf die Übermittlung des Codes entweder direkt an ein auf den Account registriertes Gerät (iPhone, iPad oder Mac), per Telefonanruf oder eben per SMS.
Und in Zukunft wird die SMS als Kanal hier weg fallen:
If the out of band verification is to be made using a SMS message on a public mobile telephone network, the verifier SHALL verify that the pre-registered telephone number being used is actually associated with a mobile network and not with a VoIP (or other software-based) service. It then sends the SMS message to the pre-registered telephone number. Changing the pre-registered telephone number SHALL NOT be possible without two-factor authentication at the time of the change. OOB using SMS is deprecated, and will no longer be allowed in future releases of this guidance. NIST
Hintergrund dieser Änderung dürften eben die im Absatz auch genannten VoIP-Services sein. Schon heute kann man SMS nicht nur per Mobilfunk auf ein physisch vorhandenes Gerät empfangen, sondern eben auch „virtuell“ an einen VoIP-Anschluß. VoIP-Accounts werden vom NIST als potentiell unsicher eingestuft, daher der deutliche Hinweis darauf, dass sicher gestellt werden muss, dass es sich bei der für die 2FA verwendeten Nummer nicht um einen solchen handelt.
Mit Recht wird nun erwartet, dass Apple – und andere – in Zukunft auf die SMS als Übermittlungsweg für den Code zum Einloggen verzichten wird. Ernsthaft betroffen von dieser Maßnahme wären aber nur Apple-Kunden ohne Apple-Gerät, also zum Beispiel Apple Music Kunden, die nur Windows und Android einsetzen. Aber man kann wohl davon ausgehen, dass Apple für diese einen alternativen Weg bauen wird, anbieten würde sich hier natürlich eine Android-App, an die der Code übermittelt wird.
Jetzt wäre übrigens genau der richtige Zeitpunkt, die Zwei-Faktor-Authentifizierung für die eigenen Accounts zu aktiveren, falls noch nicht geschehen. Damit sichert ihr eure Accounts – so der Anbieter es anbietet – einfach zusätzlich ab. Mit einem minimalen Mehraufwand macht ihr es potentiellen Angreifern schwerer an eure Daten zu kommen, selbst wenn sie euer Passwort erraten oder auf einem anderen Weg in die Hände bekommen sollten.
Quelle: 9to5Mac
