Problem
Leider sind Passwörter alleine nicht sicher genug. Geklaute oder geknackte Passwörter bieten Angreifern Zugriff auf sensible Informationen.
Lösung
Neben der Abfrage des Passworts (geheimes Wissen), wird ein Einmalpasswort, in der Regel eine Pin, per SMS an den Besitzer des Accounts versendet (geheimer Besitz).
Ergebnis
Selbst wenn das Passwort erraten oder geklaut wurde, kann ein Angreifer keinen Zugriff auf den Account erlangen, da er nicht im Besitz des Telefons bzw. der hinterlegten Rufnummer ist.
Benutzerfreundliche 2FA per SMS
Die Umsetzung einer Zwei-Faktor-Authentisierung ist immer eine Einschränkung der Benutzerfreundlichkeit. Das ist der Hauptgrund, warum man seinen Kunden immer SMS oder einen Sprachanruf anbieten sollte.
Der Umgang mit Pins die per SMS verschickt werden ist durch alle Altersklassen eingeübt und es muss keine zusätzliche App installiert werden oder umständliche Verifizierungsverfahren durchlaufen werden.
Empfehlenswert ist es dabei durchaus neben der SMS und einem Sprachanruf auch eine 2FA-App anzubieten. Die verschiedenen Wege ergänzen sich gegenseitig und dienen auch als gute Fallback-Lösung. So kann z.B. eine installierte 2FA-App auch mittels SMS verifiziert werden, um den Kunden umständliche Freischaltungsprozesse zu ersparen.
Das Problem der Kosten
Natürlich hat die SMS auch Nachteile. So entstehen für jeden Verifizierungsvorgang Kosten. Üblich ist es heute deshalb nur den Login von einem neuen System oder nach dem Ablauf eines bestimmten Zeitraums per SMS abzusichern. Teilweise werden auch nur kritische Vorgänge wie das öffnen eines Postfachs oder ein Bestellvorgang per SMS abgesichert.
Die SMS-Preise bei LOX24 sind von Beginn an deutlich besser. Daneben können weitere Kosten dadurch gespart werden auf einen Sprachanruf statt einer SMS zu setzen.
Die Anti-Fraud Prüfung von LOX24 ist ebenfalls günstige als eine normale SMS und kann so die Fälle identifizieren, wenn die Nutzung einer Zwei-Faktor-Authentifizierung besonders empfehlenswert ist. Andere Vorgänge können ohne 2FA durchgeführt werden.
Sicherheit von SMS - SMS spoofing & co
Natürlich bieten auch SMS bei der Zwei-Faktor-Authentifizierung keinen absoluten Schutz. Verschiedenste Angriffsszenarien sind denkbar. Die meisten sind sehr komplex oder erfordern ein massives Fehlverhalten des Kunden.
Wenn man die Abwägung trifft zwischen Benutzerfreundlichkeit, Risiko und Sicherheit kommt man aber meistens zum Schluss, dass das Sicherheitsniveau mittels SMS deutlich erhöht werden kann, ohne den Kunden gleichzeitig mit einem Zuviel an Sicherheit zu verlieren.
Die SMS-basierte 2FA ist eine beliebte Option, da sie relativ einfach einzurichten und zu verwenden ist. Es gibt jedoch einige potenzielle Probleme mit der Benutzerfreundlichkeit, über die sich die Benutzer im Klaren sein sollten. Wenn ein Benutzer beispielsweise sein Telefon verliert, kann er sich nicht mehr bei seinem Konto anmelden, es sei denn, er hat eine andere Form der 2FA eingerichtet. Wird das Telefon eines Benutzers gestohlen, kann der Dieb möglicherweise auf das Konto zugreifen, wenn er die Anmeldedaten und Zugang zum Telefon hat. Insgesamt ist die SMS-basierte 2FA eine bequeme und effektive Sicherheitsmaßnahme.
Dennoch sollte man das Sicherheitsniveau stetig ausbauen und insbesondere in die Phishing-Aufklärung investieren. Bei allen Methoden der Authentifizierung ist immer noch Phishing die größte Problematik.
Umsetzung von 2FA-SMS mit LOX24
Über die API-Schnittstelle von LOX24 können SMS und Sprachanrufe direkt an Ihre Kunden verschickt werden. Sie brauchen für beide Wege nur eine einzige Schnittstelle. Unser System kann zwischen Handynummern und Festnetznummern automatisch unterscheiden, aber Sie können natürlich auch Sprachanrufe an Handynummern versenden.
Das einzige was Sie brauchen ist ein SMS-Account und schon können Sie die Schnittstelle in Ihr System integrieren. Einen Test-Account können Sie hier erhalten.