Die Zwei-Faktor-Authentifizierung ist überall. Von dem Moment an, in dem Sie sich bei Ihrem Gmail-Konto anmelden, bis hin zum Zugriff auf Ihre Finanzdaten über PayPal, ist 2FA da, um Sie als sicherere Art der Anmeldung zu begrüßen. Sie finden es sogar beim Einrichten einer PS5 oder Xbox Series X , die Chancen stehen gut, Sie haben sich heute schon daran gewöhnt.
2FA, auch als Multi-Faktor-Authentifizierung bekannt, ist eine zusätzliche Sicherheitsebene - die von praktisch jeder Online-Plattform verwendet wird -, die viele Hacker auf niedriger Ebene aufhält und alle Ihre wertvollen privaten Informationen vor dem Eindringen schützt.
- Die besten Telefonangebote 2022-2023
- Entdecken Sie die besten Smartphones 2022-2023
Leider entwickeln sich Hacker-Taktiken ständig weiter, und alles, was es braucht, ist ein schlauer Cyberkrimineller, um ein winziges Loch in der Rüstung zu finden und die einst undurchdringlichen Konten nach Herzenslust zu plündern. Aber Sie müssen kein Meister im Entschlüsseln von Code sein, um Zugang zum Konto eines ahnungslosen Opfers zu erhalten.
Laut dem Verizon Data Breach Investigations Report 2022-2023 betrafen 61 % der 5.250 bestätigten Sicherheitsverletzungen, die der amerikanische Netzbetreiber analysierte, gestohlene Zugangsdaten. Der Zweck der Multi-Faktor-Authentifizierung besteht natürlich darin, zu verhindern, dass böswillige Akteure Zugriff auf ein Konto erhalten, selbst wenn sie ein supergeheimes Passwort entdecken.
Aber ähnlich wie Scar Mufasa verlassen hat, um in einem der größten Verrats aller Zeiten seinem Untergang zu verfallen, kann die Sicherheitsmethode auch die Hauptursache für cyberkriminelle Aktivitäten sein. Der wahre Verräter? Ihre alte Telefonnummer.
Um ein besseres Gefühl dafür zu bekommen, wie Angreifer auf einfache Weise die Zwei-Faktor-Authentifizierung gegen Sie einsetzen können, ist es am besten, die Online-Sicherheitsmethode zu kennen und zu wissen, wie sie funktioniert. Wenn es hilft, stellen Sie sich in diesem Artikel Ihre alte Telefonnummer als Scar vor.
Was ist die Zwei-Faktor-Authentifizierung?
Die Multi-Faktor-Authentifizierung (MFA) ist eine digitale Authentifizierungsmethode, mit der die Identität eines Benutzers bestätigt wird, um ihm den Zugriff auf eine Website oder App durch mindestens zwei Beweismittel zu ermöglichen. Die Zwei-Faktor-Authentifizierung, besser bekannt als 2FA, ist die am häufigsten verwendete Methode.
Damit 2FA funktioniert, muss ein Benutzer über mindestens zwei wichtige Zugangsdaten verfügen, um sich bei einem Konto anzumelden (bei Multi-Faktor in der Regel mehr als drei verschiedene Details). Das heißt, wenn ein nicht autorisierter Benutzer ein Passwort in die Hände bekommt, benötigt er weiterhin Zugriff auf eine E-Mail oder Telefonnummer, die mit dem Konto verknüpft ist, an das ein spezieller Code für einen zusätzlichen Schutz gesendet wird.
Zum Beispiel benötigt eine Bank einen Benutzernamen und ein Passwort, damit ein Benutzer auf sein Konto zugreifen kann, aber sie benötigt auch eine zweite Form der Authentifizierung wie einen eindeutigen Code oder eine Fingerabdruckerkennung, um die Identität eines Benutzers zu bestätigen. Dieser zweite Faktor kann auch verwendet werden, bevor eine Transaktion durchgeführt wird.
Wie vom Softwareunternehmen Ping Identity erklärt, werden die erforderlichen Anmeldeinformationen von 2FA in drei verschiedene Kategorien unterteilt: „was Sie wissen“, „was Sie haben“ und „was Sie sind“. In Bezug auf "was Sie wissen" oder Ihr Wissen, bezieht sich dies auf Ihre Passwörter, PIN-Nummer oder die Antwort auf eine Sicherheitsfrage wie "Wie ist der Mädchenname Ihrer Mutter?" (etwas, an das ich mich nie erinnern kann).
„Was du bist“ ist wohl die sicherste Kategorie, da sie deine Identität anhand eines nur für dich einzigartigen physischen Merkmals bestätigt. Dies ist normalerweise auf Smartphones wie einem iPhone oder einem Samsung Galaxy-Telefon zu sehen, die biometrische Authentifizierung wie einen Fingerabdruck oder einen Gesichtsscan verwenden, um Zugang zu erhalten.
Was „was Sie haben“ betrifft, bezieht sich dies auf das, was sich in Ihrem Besitz befindet, was von einem Smart-Gerät bis hin zu einer Smartcard sein kann. Im Allgemeinen bedeutet diese Methode, dass Sie per SMS eine Popup-Benachrichtigung auf Ihrem Telefon erhalten, die bestätigt werden muss, bevor Sie auf ein Konto zugreifen können. Alle Profis, die Google Gmail für Unternehmen verwenden, sind auf diese Kategorie gestoßen.
Leider gibt diese letzte Kategorie Anlass zur Sorge, insbesondere wenn Sie das Recycling von Telefonnummern in die Mischung einbeziehen.
Telefonnummer-Recycling
Nach Angaben der Federal Communications Commission (FCC) werden jedes Jahr mehr als 35 Millionen Nummern in den USA getrennt und sind wieder verfügbar, indem sie einem neuen Abonnenten zugewiesen werden. Klar, Zahlen sind unendlich und alles, aber es gibt nur so viele 10- oder 11-stellige Kombinationen, die ein Mobilfunknetz seinen Kunden bieten kann.
Das britische Office of Communications (Ofcom), das Unternehmen, das britischen Netzbetreibern Mobiltelefonnummern zuweist, gibt (über The Evening Standard) an, dass es eine strenge Richtlinie „benutze es oder verliere es“ für nutzungsbasierte Zahlungen hat Handynummern. Vodafone trennt und recycelt eine Telefonnummer nach nur 90 Tagen ohne Aktivität, während O2 dies nach 12 Monaten tut.
In den USA ermöglichen Netzanbieter wie Verizon und T-Mobile den Kunden die Änderung und Auswahl der verfügbaren Nummern, die auf Online-Nummernänderungsschnittstellen über ihre Website oder App angezeigt werden. Es gibt Millionen von recycelten Telefonnummern, und jeden Tag stapeln sich mehr.
Recycelte Nummern können für diejenigen schädlich sein, die sie ursprünglich besaßen, da viele Plattformen, einschließlich Gmail und Facebook, mit Ihrer Handynummer zur Passwortwiederherstellung oder, und hier ist der Kick, zur Zwei-Faktor-Authentifizierung verknüpft sind.
Wie 2FA Sie in Gefahr bringt
Eine Studie der Princeton University hat herausgefunden, wie einfach jeder eine recycelte Telefonnummer erhalten und sie für mehrere gängige Cyberangriffe verwenden kann, darunter Kontoübernahmen und sogar die Verweigerung des Zugangs zu einem Konto, indem man es als Geisel hält und im Austausch für den Zugang um Lösegeld bittet.
Laut der Studie kann ein Angreifer verfügbare Nummern finden und überprüfen, ob diese mit Online-Konten von früheren Besitzern verknüpft sind. Indem sie ihre Online-Profile einsehen und überprüfen, ob ihre alte Nummer verknüpft ist, können Angreifer die recycelte Nummer kaufen (nur 15 US-Dollar bei T-Mobile) und das Passwort für die Konten zurücksetzen. Über 2FA erhalten sie dann den per SMS gesendeten Spezialcode und geben ihn ein.
Die Forscher testeten 259 Zahlen, die sie über die beiden US-Mobilfunkanbieter erhalten hatten, und stellten fest, dass 171 von ihnen ein verknüpftes Konto auf mindestens einer von sechs häufig verwendeten Websites hatten: Amazon, AOL, Facebook, Google, PayPal und Yahoo. Dies wird als „Reverse-Lookup-Angriff“ bezeichnet.
Forscher fanden eine weitere Variante des Angriffs, die es böswilligen Akteuren ermöglichte, Konten zu kapern, ohne ein Passwort zurücksetzen zu müssen. Verwenden des Online-Personensuchdienstes BeenVerified, Ein Hacker könnte mithilfe einer recycelten Telefonnummer nach einer E-Mail-Adresse suchen und dann mithilfe von Have I Been Pwned? überprüfen, ob die E-Mail-Adressen an Datenschutzverletzungen beteiligt waren. Wenn ja, könnte der Angreifer das Passwort auf einem Schwarzmarkt für Cyberkriminelle kaufen und in ein 2FA-fähiges Konto einbrechen, ohne ein Passwort zurücksetzen zu müssen.
Erschwerend kommt hinzu, dass Angreifer Ihr Konto auch als Geisel nehmen können. Bei einem üblen Trick erhält ein Hacker eine Nummer, um sich bei mehreren Online-Diensten anzumelden, für die eine Telefonnummer erforderlich ist. Sobald dies abgeschlossen ist, stellen sie den Dienst ein, damit die Nummer wiederverwendet werden kann, damit ein neuer Abonnent sie verwenden kann. Wenn der neue Benutzer versucht, sich für dieselben Dienste anzumelden, wird der Hacker über 2FA benachrichtigt und verweigert ihm die Nutzung des Dienstes. Der Bedrohungsakteur fordert das Opfer dann auf, ein Lösegeld zu zahlen, wenn es diese Online-Dienste nutzen möchte.
Die Verwendung von 2FA auf diese Weise ist grauenhaft, aber das verhindert nicht, dass es passiert. T-Mobile hat die Untersuchung bereits im Dezember überprüft und erinnert die Abonnenten nun daran, ihre Kontaktnummer auf Bankkonten und Social-Media-Profilen auf seiner Support-Seite für Nummernänderungen zu aktualisieren. Aber das ist alles, was der Träger tun kann, was bedeutet, dass diejenigen, die nicht informiert sind, Angriffen ausgesetzt sind.
Alternative Möglichkeiten zur Verwendung von 2FA
Wenn überhaupt, harmonieren Telefonnummern und 2FA nicht sehr gut. Die gute Nachricht ist jedoch, dass es jetzt mehr Möglichkeiten gibt, wenn Sie sich für die Verwendung von 2FA entscheiden, einschließlich der oben genannten biometrischen Methoden oder Authentifikator-Apps.
Diese Optionen sind jedoch nicht immer verfügbar, und manchmal bieten Ihnen Online-Dienste nur zwei Optionen für 2FA: Ihre Telefonnummer oder Ihre E-Mail-Adresse. Wenn Sie nicht möchten, dass Hacker Ihre privaten Daten durchwühlen, entscheiden Sie sich am besten für die E-Mail-Authentifizierung. Natürlich gibt es diejenigen, die ihre E-Mails nicht immer verwenden und mit der Zeit oft ihre Passwörter vergessen. Kein Passwort, bedeutet keine Möglichkeit, einen Authentifizierungscode zu erhalten.
Um dies zu lösen, ist es am besten, einen Passwort-Manager zu finden. LastPass war dank seines kostenlosen Dienstes jahrelang die erste Wahl, aber es gibt auch andere Konkurrenten, die es wert sind, ausprobiert zu werden.
„Aber was ist, wenn ich meine Telefonnummer bereits für 2FA verwende?“ Ich höre dich fragen. Wenn Sie erwägen, Ihre Telefonnummer zu ändern, stellen Sie sicher, dass Sie die Verknüpfung Ihrer Telefonnummer mit den Onlinediensten aufheben, mit denen sie verbunden ist, bevor Sie den Wechsel vornehmen. Und wenn Sie den Wechsel bereits vorgenommen haben, lohnt es sich, Ihre Konten zu aktualisieren, um alle Narben (Telefonnummern) loszuwerden, die auf Sie warten und Sie in den Rücken fallen, wenn Sie es am wenigsten erwarten.
Ausblick
Die Zwei-Faktor-Authentifizierung ist überall und wird es bleiben. Tatsächlich wird Google Sie bald zwingen, bei der Anmeldung 2FA zu verwenden, wobei der Technologieriese für eine "sicherere Zukunft ohne Passwörter" bürgt. Dies ist keine schlechte Idee, aber es besteht die Möglichkeit, dass viele Menschen ihre Telefonnummern verwenden, um identifiziert zu werden. Wir sind sicher, dass Hacker auf niedriger Ebene das mögen.
Um dies zu verhindern, müssen Sie, sobald 2FA alle Online-Plattformen übernimmt, nur den Titel dieses Artikels lesen und unseren Ratschlägen folgen.
