Home » Marktgeschehen » NIST: 2FA ist gut, SMS weniger
Marktgeschehen
27. Juli 2016

NIST: 2FA ist gut, SMS weniger

In Zeiten, in denen beinahe mehr Phishing Mails kommen als Facebook-Benachrichtigungen haben sich Anbieter etwas einfallen lassen, um das Passwort allein unnütz zu machen: Die Zwei-Faktor-Authentifizierung. Sie findet man an vielen Stellen, ob bei Google, Apple, Microsoft oder auch bei der Online-Überweisung. Das US-Institut für Standards und Technologie findet nun die SMS für den zweiten Schritt aber ungeeignet.

Worauf man alles achten muss

Den einen gefällt die gesteigerte Sicherheit, die anderen finden es nervig, dass sie sich nur noch mit Handy anmelden können. Die Rede ist von der Zwei-Faktor-Authentifizierung – oder 2FA (für Two Factor Authentication). Während das National Institute for Standards and Technology keinen Zweifel daran lässt, dass die 2FA grundsätzlich ein Sicherheitsgewinn ist, mahnt sie zur Vorsicht, was den zweiten, unabhängigen Schritt angeht. Denn die SMS, die häufig genutzt wird, sei nicht sicher.

In einem Entwurf klärt es auf, dass die Unternehmen, die 2FA anbieten möchten, sicherstellen müssen, dass der zweite Weg für den Code „sicher“ sein muss. Im Fall einer Telefonnummer muss diese direkt an einem mobilen Netzwerk angemeldet sein. VoIP-Diensten ist generell eher zu misstrauen. Gegen Ende heißt es dann, dass von der SMS abzusehen ist. Zwar sei sie noch in Ordnung, aber in späteren Revisionen wird sie kein probates Mittel mehr sein, um den Code zu transportieren.

Wieso ist das NIST relevant?

Nun könnte man sich fragen, wofür das alles wichtig ist. Ähnlich wie die DIN-Normen haben die Schriften des NIST keine Gesetzeskraft – und in Deutschland schon gar nicht. Aber genau wie die DIN sind die Empfehlungen des NIST in den USA sehr weit verbreitet – so gut wie jedes Unternehmen richtet sich danach. Da viele Dienstleister, die wir nutzen (wie Apple und Google) in den USA sitzen, dürfte es nur eine Frage der Zeit sein, bis die 2FA angepasst wird. Im Falle der beiden genannten dürfte es wohl darauf hinauslaufen, dass die SMS als Option verschwindet, denn beide haben bereits alternative Wege, um den Code zu verschicken.

About this author