Diesen Artikel habe ich zum Teil schon zum 30. Geburtstag der SMS Anfang Dezember 2022 geschrieben, aber dann hatte er für mich an Relevanz verloren. Stattdessen hat ChatGPT einen Beitrag geschrieben, der allerdings in eine andere Richtung geht.
In Anbetracht der aktuellen Diskussion um die Abschaltung von SMS als zweitem Faktor für Nicht-Abonnenten von Twitter möchte ich das Thema doch noch einmal aufgreifen.
Die Situation bei Twitter
Da ich kein Freund von SMS für MFA bin, bin ich von dieser Änderung nicht direkt betroffen. Generell habe ich den Eindruck, dass die Menschen in meinem Umfeld MFA entweder nur nutzen, wenn sie es müssen und dann so einfach wie möglich (also gerne per SMS) oder so sicherheitsbewusst sind, dass sie TOTP bevorzugen. Da es bei Twitter keinen Zwang (auch keine freundliche Ermahnung) zu MFA gibt, betrifft es vermutlich nur eine Minderheit. Auf DarkReading habe ich interessante Zahlen gelesen: 2,4% der Nutzer nutzen MFA und >70% davon per SMS.
In meinem Artikel zu MFA vom April 2022 steht die SMS in der Übersicht von Daniel Miessler immerhin schon auf Stufe 5 von 8. Die SMS ist als zusätzlicher Schutz zu sehen (wenn dafür das Passwort nicht schwächer ausfällt, wiederverwendet oder schlechter geschützt wird). Daher hat die SMS auch für MFA ihre Daseinsberechtigung und kann sich positiv auswirken. Nicht jeder Angreifer ist bereit oder in der Lage Sim-Swapping durchzuführen.
Es gibt aber auch gewachsene Umgebungen: Wenn früher nichts anderes als SMS angeboten wurde, ist es einmal aktiviert. Eine Änderung der Authentifizierungsverfahren ist immer ungünstig und wird gerne hinausgezögert. Zugegeben, ich habe auch noch einige solche Accounts.
Zurück zu Twitter: Generell frage ich mich, was dieser Schritt so soll. Die an Bots versendeten SMS kosten wohl zu viel Geld und das ist nur für zahlende Blue-Abonnenten (egal ob Bot oder nicht) hinnehmbar. Generell fände ich es interessant, mehr Hintergründe zu erfahren, ob Bots eher MFA nutzen als Menschen. Ich hätte nicht erwartet, dass dies ein Problem ist, wenn MFA nicht erzwungen wird. Auch die Zahl von 2,4% (oben aus DarkReading) deutet für mich nicht auf Bots hin, da der Anteil sonst wohl deutlich größer wäre.
Aus Sicht der Sicherheit und Attraktivität von Twitter Blue wäre es doch nur logisch zu sagen, dass auch die erweiterte Sicherheit mit TOTP oder FIDO2 nur noch gegen Bezahlung möglich wären, oder?
Ich will mich nicht beschweren, denn auch ich bezahle Twitter nur mit Daten/Werbung statt Geld. Die entstandene Diskussion finde ich schon bemerkenswert.
Ich denke die Fälle, bei denen jetzt eine Migration von SMS zu TOTP bei Twitter ansteht und dies den Anstoß zu mehr sicherer MFA gibt, lassen sich an einer Hand abzählen. Vermutlich werden sogar mehr Leute MFA deaktivieren, anstatt das MFA-Verfahren umzustellen.
Als Bot hätte ich vorher auch TOTP bevorzugt, aber ich betreibe kein Botnetz und kann nur Vermutungen anstellen.
Zwang zu SMS
Umgekehrt gibt es aber auch Dienste, die weiterhin nur die SMS als Option für MFA anbieten oder dies sogar erzwingen. Wenn nicht für MFA, dann für die Identifizierung der Nutzer bei der Registrierung (mit denselben Sicherheitsproblemen).
Seit Ende 2022 ist es vor allem die ING, die mich ärgert. Meine drei Zugänge sind auch ganz unterschiedlich. Bei allen Konten gibt es neben der Zugangsnummer und der PIN noch den DiBa Key als quasi zweite PIN (2x Wissen).
Eines der Konten möchte aber, dass ich meine „Mobilnummer für Sicherheitsprozesse“ hinterlege. Diese Abfrage kommt bei jeder Anmeldung und das sind jedes Mal zwei Klicks mehr. Ich bin gespannt, wie lange ich diese Meldung noch wegklicken kann.
Aus meiner Sicht wäre ein sicherer zweiter Faktor zu bevorzugen. Ich finde es außerdem höchst problematisch, dass die Banken jetzt auch Telefonnummer und E-Mailadresse verwenden, weil das die Phishing-Möglichkeiten für Angreifer plausibler macht. Bei meinen Awareness-Schulungen vor nunmehr über 10 Jahren konnte ich noch beruhigt sagen, dass alle SMS und E-Mails der Bank ignoriert werden können, weil diese einen so nicht kontaktieren. Diese Zeiten sind dann wohl leider vorbei.
Bei einem zweiten Konto konnte ich durch eine Umstellung der Zugänge die Angabe der Telefonnummer leider nicht umgehen. Das dritte Konto interessiert sich zum Glück bisher nicht für die Telefonnummer.
Einen Punkt bei der Nutzung von SMS als Backup für den Zugriff sollte nicht unterschätzt werden: Es gibt genügend Dienste, die man vielleicht nur sehr selten nutzt. Auch ich habe Twitter zwischenzeitlich viele Jahre gar nicht genutzt. Wenn sich die hinterlegte Telefonnummer ändert, hat man eventuell ein Problem. Ich habe in meinem KeePass hinterlegt, welche Telefonnummer ich wo angegeben habe, zumal ich früher öfter die Nummern gewechselt habe. Ich denke es gibt genug Fälle, in denen das schief geht – vor allem wenn die Telefonnummer nicht freiwillig/bewusst und nur schnell mal eben bei der Registrierung angegebenen wurde.
Ich meine mich zu erinnern, dass es auch Fälle gab, in denen Telefonnummern, die nur zu Sicherheitszwecken hinterlegt waren, für andere Zwecke missbraucht wurden. Eine kurze Suche offenbart, dass es sogar Twitter war 🙃.
Die Sicherheit von SMS
SMS benutze ich auch nur sehr selten. Entweder als Erinnerung an Arzttermine oder für wenige Personen die ansonsten WhatsApp als einzigen Messenger nutzen. Einige wenige Konversationen wurden aber bereits auf RCS umgestellt.
Mir ist kein Fall aufgefallen bei dem die automatisch versendeten SMS bei der Registrierung oder für MFA-Zwecke durch RCS ersetzt worden wären. Warum eigentlich nicht? Twilio zum Beispiel kann bereits seit fünf Jahren RCS nutzen, aber wohl zu anderen Preisen als SMS. Wenn ich nun aber bei Twitter Blue dafür zahlen müsste, würde ich das wohl erwarten können, oder?
Besonders problematisch finde ich es, wenn die SMS als Möglichkeit zur Wiederherstellung eines verlorenen Passworts verwendet wird.
Andere Alternativen
Abseits von TOTP und FIDO2 fallen mir einige Dienste ein, die einiges anders machen. Einige Banken haben spezielle Apps, manche sogar mehrere. PSD2 sei Dank.
Dass ich E-Mail gegenüber SMS bevorzuge, habe ich ja bereits kundgetan. Besonders gut finde ich die Umsetzung von Bitcoin.de da die E-Mails dort sogar PGP-verschlüsselt und -signiert übertragen werden.
Bei LinkedIn ist mir diese Woche zu ersten Mal aufgefallen, dass neben TOTP auch die Freigabe der Anmeldung durch die App möglich ist.
Auf den ersten Blick kann ich das gar nicht unterbinden und wird sogar gegenüber TOTP bevorzugt.
Sogar Telegram hat seit kurzem ein zusätzliches Passwort für die zweistufige Bestätigung, möchte dann aber auch gleich die E-Mailadresse einsammeln.
Oder Lidl bietet mir immer die Möglichkeit an, SMS oder E-Mail zu nutzen. So kann sich ein Angreifer kann das leichtere Ziel aussuchen. Leider muss man eine Telefonnummer hinterlegen.
Als es GTA V kostenlos im Epic Store gab, ist mir in Erinnerung geblieben, dass die Anmeldung zum Store sehr lange nicht funktioniert hat, weil die E-Mails erst nach Ablauf der Gültigkeit des Codes versandt wurden, bzw. ankamen. Das kann bei SMS ggf. auch passieren.
Xing hat MFA aber auch irgendwie vermasselt. Seit ich TOTP eingerichtet habe, möchte die Android-App bei jedem Zugriff eine neue Anmeldung mit E-Mail, Passwort und TOTP-Code. Das ist sehr nervig, aber seitdem nutze ich Xing auch weniger.
Zusammenfassung
Zusammenfassend lässt sich feststellen, die die SMS als zweiter Faktor für eine Anmeldung durchaus bequem ist. Sie kann sicherer sein als ein reines Passwort, ist aber von allen MFA-Optionen die schwächste.
Den Schritt von Twitter zur Deaktivierung der SMS-MFA für nicht Blue-Abonnenten kann ich nicht ganz nachvollziehen. Als Optimist sehe ich darin die Möglichkeit, die Verbreitung für TOTP, FIDO2, PassKeys etc. zu verbessern.
Ich vermisse bei vielen Login-Vorgängen aber die Möglichkeit per E-Mail oder im Bildschirm nach der Anmeldung über die letzten erfolgreichen und fehlgeschlagenen Anmeldeversuche informiert zu werden.