Haben Sie schon einmal eine Textnachricht mit einem Code erhalten, als Sie sich bei Ihrem Bankkonto oder Ihrer E-Mail anmelden wollten? Dies ist ein Beispiel für die SMS-Authentifizierung in Aktion. Dabei handelt es sich um eine einfache Sicherheitsmaßnahme, bei der ein Einmalpasswort (OTP) per SMS an Ihr Telefon gesendet wird, um Ihre Identität zu überprüfen.
Angesichts der zunehmenden Bedrohungen für die Cybergesellschaft und die Sicherheit verlassen sich Unternehmen und Privatpersonen seit langem auf die SMS-Authentifizierung, um eine zusätzliche Sicherheitsebene zu schaffen. Aber ist dies wirklich die beste Option? In diesem Blog werden wir erörtern, wie die SMS-Authentifizierung funktioniert, welche Vor- und Nachteile sie hat und welche sichereren Alternativen es gibt.
Was ist SMS-Authentifizierung?
Die SMS-Authentifizierung ist ein Sicherheitsverfahren, bei dem die Identität eines Nutzers überprüft wird, indem ein Einmalpasswort per Textnachricht an die registrierte Telefonnummer gesendet wird. Dieser Code, die so genannte SMS-Authentifizierungsnummer, wird in ein Anmeldeformular eingegeben, um zu beweisen, dass die Person, die auf das Konto zugreifen möchte, die registrierte Telefonnummer besitzt.
Dieses Verfahren wird üblicherweise bei verschiedenen Online-Diensten eingesetzt, wie z. B:
- Banking-Anwendungen (zur Bestätigung von Transaktionen oder Anmeldungen)
- E-Mail-Dienste (wie Gmail und Outlook)
- Plattformen für den elektronischen Handel (zum Schutz von Kundenkonten)
- Konten für soziale Medien (Facebook, Instagram, Twitter, usw.)
Die SMS-Authentifizierung spielt eine wichtige Rolle bei der Zwei-Faktor-Authentifizierung (2FA) und der Multi-Faktor-Authentifizierung (MFA).
- Zwei-Faktoren-Authentifizierung (2FA): Bei der Zwei-Faktor-Authentifizierung per SMS wird neben dem Passwort auch der SMS-Code zur Authentifizierung verwendet, damit Sie sich anmelden können. Selbst wenn ein Hacker das Passwort einer Person gestohlen hat, ist es unmöglich, sich ohne den SMS-Code bei dem Konto anzumelden.
- Multi-Faktor-Authentifizierung (MFA) erweitert das Konzept der 2FA um mehrere Überprüfungsfaktoren, wie Fingerabdruck, Gesichtsscan oder Sicherheitsschlüssel. Dadurch wird es noch schwieriger, unrechtmäßigen Zugang zu erhalten.
Mit dem Verfahren der SMS-Authentifizierung konnten die Unternehmen die Gefahr des Passwort-Hackings oder schwacher Passwörter, die zu Sicherheitsverletzungen führen, erheblich eindämmen. Die Methode ist jedoch nicht ohne Schwachstellen, wie in den folgenden Abschnitten erläutert wird.
Wie funktioniert die SMS-Authentifizierung?
Der Prozess der SMS-Authentifizierung folgt einer einfachen, aber effektiven Struktur:
Schritt 1: Versuch der Benutzeranmeldung: Wenn ein Benutzer versucht, sich anzumelden, prüft das System, ob sein Konto eine SMS-Authentifizierung erfordert.
Schritt 2: Versenden des SMS-Codes: Ein OTP wird erstellt und per SMS an Ihr Telefon gesendet, um sich anzumelden oder Transaktionen durchzuführen. Dieser Code ist einmalig und nur für eine kurze Zeit gültig.
Schritt 3: Der Benutzer gibt den Code ein: Sobald Sie den Code auf Ihrem Telefon haben, geben Sie ihn in das erforderliche Feld auf der Website oder App ein.
Schritt 4: Überprüfungsvorgang: Wenn Sie den richtigen Code eingeben, wird der Zugang gewährt. Wenn nicht, müssen Sie einen neuen Code anfordern.
Diese Methode stellt sicher, dass sich nur Personen mit Zugriff auf die registrierte Telefonnummer anmelden können, obwohl einige Hacker Wege entwickelt haben, diese Sicherheitsmaßnahme zu umgehen.
SMS-Authentifizierungscodes - Arten von One-Time-Passwörtern (OTPs)
Einmalige Passwörter sind das Herzstück der Textauthentifizierung. Bei diesen Passwörtern handelt es sich um temporäre Codes, die zur Überprüfung der Identität eines Benutzers bei der Anmeldung oder bei Transaktionen verwendet werden. Anstatt sich auf ein statisches Passwort zu verlassen, das wiederverwendet werden kann, stellen OTPs sicher, dass jeder Anmeldeversuch einen neuen Code erfordert.
Es gibt zwei Haupttypen von OTPs, die in Authentifizierungs-SMS verwendet werden:
1. Zeitbasiertes Einmal-Passwort (TOTP)
Ein zeitbasiertes Einmalpasswort (Time-Based One-Time Password, TOTP) ist ein OTP, das nach einer kurzen Zeitspanne abläuft, normalerweise 30 bis 60 Sekunden. Wenn der Benutzer den Code nicht innerhalb dieses Zeitfensters eingibt, wird er ungültig und er muss ein neues Passwort anfordern.
Wie TOTP funktioniert:
Schritt 1: Der Benutzer versucht, sich bei einem Konto anzumelden.
Schritt 2: Das System generiert einen 6- oder 8-stelligen Zufallscode.
Schritt 3: Der Code wird per SMS-Authentifizierungsnummer an das Telefon des Benutzers gesendet.
Schritt 4: Der Benutzer gibt den Code innerhalb des gültigen Zeitrahmens (30-60 Sekunden) ein.
Schritt 5: Bei korrekter Eingabe gewährt das System den Zugang.
Warum TOTP verwendet wird:
- Verhindert, dass Angreifer gestohlene oder abgefangene OTPs wiederverwenden.
- Reduziert das Risiko von Brute-Force-Angriffen, da die Codes schnell ablaufen.
- Erhöht die Sicherheit, indem sichergestellt wird, dass jedes OTP kurzlebig ist.
Beispiel für TOTP in Aktion:
Stellen Sie sich vor, Sie melden sich bei Ihrem Online-Banking-Konto an. Sie geben Ihr Passwort ein, und die Bank schickt Ihnen einen SMS-Authentifizierungscode, der in 30 Sekunden abläuft. Sie schauen schnell auf Ihr Handy, geben den Code ein und greifen auf Ihr Konto zu. Wenn Sie zu lange brauchen, funktioniert der Code nicht und Sie brauchen einen neuen.
2. Hash-basiertes Einmal-Passwort (HOTP)
Ein Hash-basiertes One-Time-Passwort (HOTP) ist eine weitere Art von OTP, aber im Gegensatz zu TOTP hat es keine feste Ablaufzeit. Stattdessen bleibt es gültig, bis es verwendet wird.
So funktioniert HOTP:
Schritt 1: Das System generiert ein eindeutiges OTP auf der Grundlage eines mathematischen Algorithmus.
Schritt 2: Der Code wird dem Benutzer per SMS-Validierung zugesandt.
Schritt 3: Der Benutzer gibt das OTP bei der Anmeldung ein.
Schritt 4: Nach der Eingabe wird das OTP als verwendet markiert und kann nicht wieder verwendet werden.
Warum HOTP verwendet wird:
- Ideal für Situationen, in denen die Benutzer eine SMS nicht sofort erhalten.
- Funktioniert gut in Regionen mit schlechter Netzanbindung.
- Verhindert zeitkritische Probleme, da das OTP bis zur Verwendung gültig bleibt.
Beispiel für HOTP in Aktion:
Sie melden sich bei Ihrem Firmen-E-Mail-Konto an, und das System sendet einen SMS-Authentifizierungscode an Ihr Telefon. Sie werden abgelenkt und geben den Code nicht sofort ein. Da HOTP nicht zeitlich begrenzt ist, können Sie denselben Code auch nach einigen Minuten noch eingeben. Einmal eingegeben, kann er jedoch nicht wieder verwendet werden.
Welches OTP ist am sichersten?
TOTP gilt im Allgemeinen als sicherer als HOTP, weil es das Zeitfenster begrenzt, in dem Angreifer ein gestohlenes OTP verwenden können. Beide Methoden bieten jedoch eine bessere Sicherheit als herkömmliche Passwörter allein.
- Einem aktuellen Bericht von Forbes zufolge, der sich auf "privilegierte Gespräche mit Google-Insidern" beruft, wurde erstmals bekannt, dass SMS-Codes bei der Authentifizierung durch QR-Codes ersetzt werden sollen, um "die Auswirkungen des grassierenden, weltweiten SMS-Missbrauchs zu verringern".
Vorteile der SMS-Authentifizierung
Auch wenn die SMS-Authentifizierung nicht narrensicher ist, so ist sie doch eine der beliebtesten Sicherheitsmaßnahmen. Die meisten Unternehmen vertrauen ihr nach wie vor, weil:
1. Einfach und benutzerfreundlich
Es handelt sich um einen sehr niedrigschwelligen Sicherheitsmechanismus, da die Nutzer keine spezielle Software oder Anwendungen installieren müssen; sie benötigen lediglich ein Telefon, das in der Lage ist, normale Textnachrichten zu empfangen.
Beispiel: Wenn man sich bei einem Online-Bankkonto anmeldet und eine Textnachricht mit dem Authentifizierungscode erhält, muss man ihn nur noch auf der Website eingeben. Dies ist nützlich, um Bankkonten komplex zu gestalten, ohne sie unübersichtlich und damit schwer zu benutzen zu machen.
2. Universell zugänglich
Im Gegensatz zur anwendungsbasierten Authentifizierung, für die ein Smartphone erforderlich ist, kann die SMS-Authentifizierung auf jedem Mobiltelefon funktionieren. Dies ist vorteilhaft für Unternehmen mit Kunden in Gebieten, in denen es kaum Smartphones oder stabile Internetverbindungen gibt.
Behörden und Finanzdienstleister haben eine SMS-Authentifizierung eingesetzt, die verschiedene Personengruppen umfasst, selbst diejenigen, die nur mit den einfachsten Telefonen ausgestattet sind und somit eine Authentifizierung über normale SMS-Nachrichten erhalten können.
3. Keine zusätzliche Hardware oder Software erforderlich
Einige Sicherheitsmittel, wie personalisierte elektronische Schlüssel oder biometrische Authentifizierung, erfordern nur den Einsatz spezieller Geräte. Für die SMS-Authentifizierung brauchen Sie nichts weiter als Ihre Telefonnummer.
Dies stellt eine kostengünstige Lösung für Unternehmen dar, die eine höhere Sicherheit benötigen, ohne viel für Authentifizierungsmethoden zu bezahlen.
4. Funktioniert auch ohne Internet
Ein sehr großer Vorteil der SMS-basierten Authentifizierung ist, dass sie keinen Internetzugang benötigt. Während Authentifizierungs-Apps und E-Mail-Verifizierungssysteme immer noch Wi-Fi oder mobile Daten benötigen, funktioniert SMS über das Mobilfunknetz.
So kann es auch in Gegenden mit schlechtem Internetzugang nützlich sein und sicherstellen, dass die Nutzer ihre Identität auch dann noch authentifizieren können, wenn sie offline sind.
5. Fügt eine zusätzliche Sicherheitsebene hinzu
Die SMS-Authentifizierung gehört nicht zu den sichersten Methoden, um Sicherheit zu gewährleisten, aber sie ist weitaus sicherer als die Verwendung eines Passworts allein. Selbst wenn es einem Hacker gelänge, das Passwort einer Person zu stehlen, wäre es für ihn unmöglich, den Anmeldevorgang ohne Zugriff auf das Telefon abzuschließen.
Wenn beispielsweise ein Cyberkrimineller das E-Mail-Passwort eines Benutzers durch eine Datenpanne kompromittieren würde, würde ein zusätzlicher Schritt die Sache noch komplizierter machen, da der Hacker die SMS-Nummer benötigen würde, um sich Zugang zu verschaffen.
-Gmail-Sprecher Ross Richendrfer
Nachteile und Sicherheitsrisiken der SMS-Authentifizierung
Trotz ihrer Vorteile hat die SMS-Authentifizierung ernsthafte Sicherheits- und Benutzerfreundlichkeitsprobleme. Daher drängen mehrere Cyber-Experten auf die Verwendung alternativer Authentifizierungsmethoden.
1. Anfällig für SIM-Swapping-Angriffe
SIM-Swap-Angriffe sind eine der größten Bedrohungen für die SMS-Authentifizierung. Bei diesem Angriff überreden die Kriminellen die Mobilfunkanbieter, die einem Opfer zugewiesene Telefonnummer auf eine andere SIM-Karte zu übertragen, die sie kontrollieren.
Sobald das Hacken erfolgreich war, kontrollieren die Sim-Swapping-Experten das Konto und erhalten Zugang zum Telefon, indem sie Textcodes zur Validierung verwenden.
- Blockchain Capital's Bart Stephens verlor $6.3 Millionen in SIM-Swap Crypto Hack!
2. Anfällig für Phishing und Social Engineering
Hacker verwenden Phishing-E-Mails, gefälschte Websites oder betrügerische Telefonanrufe, um Benutzer zur Angabe einer SMS-Authentifizierungsnummer zu verleiten.
Hacker können gefälschte E-Mails verschicken, in denen sie vorgeben, eine Bank zu vertreten, und einen Nutzer auffordern, seinen Textauthentifizierungscode auf einer gefälschten Website anzugeben. Wenn das Opfer darauf eingeht und in diese Falle tappt, gewährt dieser Code dem Hacker Zugang zu seinem Konto und gibt ihm die Kontrolle darüber.
- Nach Angaben des National Institute of Standards and Technology (NIST) ist die SMS-basierte Authentifizierung anfällig für Phishing- und Man-in-the-Middle-Angriffe. Ihre Richtlinien (SP 800-63B) raten ausdrücklich von SMS für Hochsicherheitsanwendungen ab.
3. SMS-Nachrichten können abgefangen werden
Im Gegensatz zu anderen Authentifizierungsmechanismen werden SMS-Nachrichten unverschlüsselt versandt und können daher von jedermann abgefangen werden. Durch Schadsoftware oder andere Arten von Angriffen, die Schwachstellen in Mobilfunknetzen ausnutzen, kann ein Angreifer unter bestimmten Umständen SMS-Nachrichten lesen und Befehlscodes zum Einloggen erhalten.
4. Nicht sicher für Hochrisikotransaktionen
Während die SMS-Authentifizierung für die allgemeine Anmeldung hilfreich ist, wird sie für sehr sensible Vorgänge wie Finanztransaktionen oder den Zugriff auf wichtige Geschäftsinformationen nicht empfohlen.
Viele Finanzinstitute und Sicherheitsteams in Unternehmen raten inzwischen von der Verwendung der SMS-Validierung für risikoreiche Transaktionen ab und empfehlen stattdessen die Einführung von MFA oder passwortlosen Anmeldeinformationen.
5. Erfordert ein Mobilfunknetz - kein Signal, kein Zugang
Während Codes für die app-basierte Authentifizierung offline erfasst werden können, ermöglichen SMS-Nachrichten die Authentifizierung auf diese Weise - für den Empfang der SMS ist ein aktives Mobilfunknetz erforderlich. Befindet sich der Nutzer beispielsweise in einer Region mit schwachem Signal oder reist er in ein anderes Land ohne Roaming, können die SMS-Authentifizierungscodes möglicherweise nicht an den Nutzer übermittelt werden.
Beispiel: Eine reisende Führungskraft, die unterwegs keine SMS-Authentifizierungsnummer empfangen kann, hat keinen Zugriff auf die Firmen-E-Mails.
- Finanzinstitute: Banken sollten MFA-Lösungen wie biometrische Verfahren oder Authentifizierungs-Apps bevorzugen, um Kontoübernahmen zu verhindern.
- Anbieter von Gesundheitsdienstleistungen: Die HIPAA-konforme Authentifizierung erfordert mehr Sicherheit als SMS.
- Elektronischer Handel und soziale Medien: Die SMS-Authentifizierung ist für risikoarme Anmeldungen immer noch üblich, sollte aber mit Backup-Authentifizierungsmethoden kombiniert werden.
Moderne Authentifizierungsmethoden
Angesichts der zunehmenden Zahl von Cyber-Bedrohungen gehen Unternehmen dazu über, von der SMS-Authentifizierung auf stärkere Sicherheitsmethoden umzusteigen. Hier sind einige der sichersten und fortschrittlichsten Authentifizierungsalternativen, die heute verfügbar sind:
1. Multi-Faktor-Authentifizierung (MFA) - Kombination mehrerer Methoden
Die Multi-Faktor-Authentifizierung (MFA) erhöht die Sicherheit, indem sie von den Benutzern verlangt, dass sie ihre Identität mit mehreren Methoden statt nur mit einer Authentifizierungs-SMS überprüfen.
MFA verwendet drei Haupttypen von Authentifizierungsfaktoren:
- Etwas, das Sie wissen - Passwort, PIN oder Sicherheitsfrage.
- Etwas, das Sie haben - SMS OTP, Authentifizierungs-App oder ein physischer Sicherheitsschlüssel.
- Etwas, das Sie sind - Biometrische Daten wie Fingerabdruck, Gesichtserkennung oder Netzhautscan.
Durch die Kombination von zwei oder mehr dieser Faktoren macht es MFA Hackern deutlich schwerer, in Konten einzubrechen.
Beispiel für MFA in Aktion:
Wenn Sie sich bei Ihrem Online-Banking-Konto anmelden, geben Sie Ihr Passwort ein (das Sie kennen). Dann erhalten Sie einen SMS-Authentifizierungscode auf Ihr Telefon (etwas, das Sie haben). Einige Banken fragen auch nach einem Fingerabdruck oder einer Gesichtserkennung (etwas, das Sie haben). Diese Kombination gewährleistet maximale Sicherheit.
2. Passwortlose Authentifizierung
Passwörter sind das schwächste Glied in der Kette der Cybersicherheit, da sie wiederverwendet, erraten und leicht gestohlen werden können. Die passwortlose Authentifizierung zielt darauf ab, Passwörter gänzlich zu ersetzen und so einfachere und sicherere Anmeldeverfahren zu ermöglichen.
- Biometrische Authentifizierung - Fingerabdruck, Gesichtserkennung oder Stimmerkennung.
- Sicherheitsschlüssel - Physische USB- oder NFC-Geräte wie YubiKey.
- Authenticator-Anwendungen - Apps wie Google Authenticator oder Microsoft Authenticator, die zeitabhängige Codes generieren.
Beispiel für passwortlose Authentifizierung in Aktion:
Sie greifen auf das interne System Ihres Unternehmens zu, indem Sie sich mit Ihrem Fingerabdruck anmelden. Das System erkennt Ihren Fingerabdruck und ermöglicht den Zugang ohne Eingabe eines Passworts.
3. Single Sign-On (SSO) für nahtlosen Zugang
Single Sign-On (SSO) ermöglicht es Benutzern, sich bei mehreren Anwendungen und Diensten mit einem einzigen, eindeutigen Authentifizierungsverfahren anzumelden.
Wie SSO funktioniert:
Schritt 1: Ein Benutzer meldet sich bei einem System mittels SMS-Authentifizierung, biometrischer Daten oder einer anderen sicheren Methode an.
Schritt 2: Nach der Authentifizierung erhält der Benutzer Zugriff auf alle verbundenen Anwendungen, ohne sich erneut anmelden zu müssen.
Vorteile von SSO:
- Verringert die Passwortmüdigkeit, da man sich nicht mehrere Passwörter merken muss.
- Erhöhung der Sicherheit durch Zentralisierung der Authentifizierung.
- Bessere Nutzererfahrung durch Vereinfachung des Zugangs zu verschiedenen Diensten
Beispiel für SSO in Aktion:
Sobald Sie sich bei Ihrem Google-Konto angemeldet haben, haben Sie automatisch Zugriff auf Google Mail, Google Drive, YouTube und andere Google-Dienste, ohne sich erneut anmelden zu müssen.
4. OAuth und OpenID Connect für sichere Autorisierung
OAuth und OpenID Connect sind moderne Authentifizierungs-Frameworks, die es Benutzern ermöglichen, sich mit Anmeldedaten von Drittanbietern wie Google, Facebook oder Microsoft bei Websites oder Anwendungen anzumelden.
Wie OAuth und OpenID Connect funktionieren:
Schritt 1: Anstatt einen neuen Benutzernamen und ein Passwort für eine Website zu erstellen, melden Sie sich mit Google an.
Schritt 2: Google überprüft Ihre Identität und erteilt die Erlaubnis zum Zugriff auf den angeforderten Dienst.
Schritt 3: Die Website authentifiziert Sie auf der Grundlage der Google-Bestätigung, ohne dass Sie ein separates Passwort benötigen.
Warum Unternehmen OAuth und OpenID Connect bevorzugen:
- SMS-Validierung oder Passwörter sind nicht mehr erforderlich.
- Die Benutzer müssen sich nicht mehrere Anmeldedaten merken.
- Verringert die mit der Wiederverwendung von Passwörtern verbundenen Sicherheitsrisiken.
Beispiel für OAuth in Aktion:
Sie besuchen eine neue E-Commerce-Website und wählen "Mit Google anmelden". Anstatt ein neues Konto zu erstellen, melden Sie sich mit Ihren Google-Anmeldedaten an. Die Website wird von Google authentifiziert, und Sie können sofort mit dem Einkaufen beginnen.
Große Technologieunternehmen wie Apple, Google und Microsoft setzen auf Passkeys - eine Authentifizierungsmethode, die Passwörter und SMS-Codes überflüssig macht. Diese modernen Methoden verwenden eine kryptografische Authentifizierung, die sie resistent gegen Phishing und Abfangen macht.
Gemeinsamer SMS-PosteingangSchlussfolgerung
Obwohl die SMS-Authentifizierung Sicherheitsrisiken birgt, ist sie nach wie vor eine weit verbreitete Methode zur Verifizierung von Benutzern. Unternehmen sollten ihre Sicherheitsbedürfnisse bewerten und die Verwendung von SMS neben sichereren Authentifizierungsmethoden wie App-basierten OTPs oder biometrischer Verifizierung in Betracht ziehen.
Da sich die Cyber-Bedrohungen weiterentwickeln, müssen Unternehmen ihre Authentifizierungsstrategien überdenken. Die Implementierung von MFA, biometrischer Authentifizierung oder passwortlosen Anmeldungen kann die Sicherheitsrisiken erheblich verringern. Wenn Sie Ihre Authentifizierungssysteme verbessern möchten, lassen Sie sich von Cybersecurity-Experten beraten oder entdecken Sie Lösungen wie ControlHippo.
Aktualisiert : 29. März 2025
Jainy Patel is a content strategist who specializes in omnichannel communication solutions. She develops innovative marketing strategies that unify messaging across various channels, ensuring a consistent and engaging customer journey. Jainy is passionate about optimizing communication processes and crafting targeted content that resonates with audiences at every touchpoint.