26.07.2016, 15:06 Uhr
SMS soll für Zwei-Faktor-Authentifizierung nicht geeignet sein
Die US-Behörde NIST will die SMS nicht mehr für die 2-Faktor-Authentifizierung erlauben. Das System sei zu unsicher.
Zwei-Faktor-Authentifizierung ist eine der sichersten Verifizierungsmethoden, darin sind sich Experten einig. Allerdings soll die wohl weitverbreitetste Methode dazu, die SMS, in den USA künftig verboten werden. Das schreibt die NIST National Institute of Standards and Technology in einem Dokument. Die Standards des NIST besitzen keine Gesetzeskraft, Unternehmen tun dennoch gut daran, den Empfehlungen zu folgen. Vorerst handelt es sich ohnehin um einen Entwurf. Dieser wurde – das NIST versucht, sich so fortschrittlich wie möglich zu geben –, auf GitHub zur Diskussion freigegeben. Das NIST empfiehlt Unternehmen bereits heute auf SMS zu verzichten. Falls diese es nicht lassen können, sollen sie mindestens sicherstellen können, dass es sich tatsächlich um eine Telefonnummer im regulären Mobilfunknetz und nicht um ein VoIP-System handle. Letztere könnten gehackt werden. Zudem solle die hinterlegte Telefonnummer nicht mehr ohne zweite Authentifizierung geändert werden können. Damit will das NIST verhindern, dass hinterlegte Nummern von Unbefugten ausgetauscht werden können. Als Alternative zur Zwei-Faktor-Authentifizierung via SMS bieten sich spezielle Dienste wie Google Authenticator oder RSA SecurID oder Hardware wie Dongles an.