Wie sicher sind Authenticator-Apps im Vergleich zu SMS-Codes?
- Grundlagen der Zwei-Faktor-Authentifizierung
- Sicherheitsaspekte von SMS-Codes
- Sicherheitsvorteile von Authenticator-Apps
- Praktische Aspekte und Nutzungskomfort
- Fazit
Grundlagen der Zwei-Faktor-Authentifizierung
Zwei-Faktor-Authentifizierung (2FA) erhöht die Sicherheit von Online-Konten, indem sie zusätzlich zum Passwort einen zweiten Faktor fordert. Dabei handelt es sich typischerweise um etwas, das der Nutzer besitzt, wie ein Mobilgerät, auf dem ein Einmalcode generiert wird. Zwei gängige Methoden sind der Versand von SMS-Codes und die Verwendung von Authenticator-Apps. Beide generieren zeitlich begrenzte Einmal-Passwörter (TOTP), doch unterscheiden sich deutlich in ihrer Sicherheit.
Sicherheitsaspekte von SMS-Codes
SMS-Codes werden über das Mobilfunknetz an das Smartphone des Nutzers gesendet. Obwohl diese Methode auf den ersten Blick praktisch erscheint, bringt sie mehrere Schwachstellen mit sich. Das Mobilfunknetz ist anfällig für Abhörversuche und Manipulationen, wie SIM-Swapping oder SS7-Angriffe. Beim SIM-Swapping gelangt ein Angreifer durch Social Engineering oder durch Sicherheitslücken beim Mobilfunkanbieter an eine Ersatz-SIM-Karte, die die Telefonnummer des Opfers übernimmt. Dadurch empfängt der Angreifer die SMS-Codes und kann dadurch Konten kompromittieren. Zudem können SMS-Nachrichten auf älteren Geräten oder unsicheren Netzwerken abgefangen werden, was ihre Sicherheit weiter mindert. Auch besteht das Risiko, dass das Gerät verloren geht oder gestohlen wird, was im Zusammenspiel mit einer unsicheren Passwortwahl problematisch ist.
Sicherheitsvorteile von Authenticator-Apps
Authenticator-Apps, wie Google Authenticator, Microsoft Authenticator oder freie Alternativen, erzeugen zeitbasierte Einmal-Passwörter direkt auf dem Gerät. Dabei werden die Codes lokal und unabhängig vom Mobilfunknetz generiert. Dies schließt viele Angriffsvektoren aus, die bei SMS bestehen, beispielsweise können die Codes nicht über das Mobilfunknetz abgefangen werden und sind weniger anfällig für SIM-Swapping. Da der geheime Schlüssel, der zur Code-Generierung verwendet wird, nur auf dem Gerät gespeichert wird und nicht über das Internet oder Mobilfunknetz übermittelt wird, ist der Angriffsraum erheblich kleiner. Zudem bieten manche Authenticator-Apps zusätzliche Sicherheitsfeatures, wie die Absicherung per PIN oder Biometrie, welche unbefugten Zugriff weiter erschweren.
Praktische Aspekte und Nutzungskomfort
Aus Nutzersicht sind SMS-Codes leicht zugänglich, weil sie keine zusätzliche App erfordern und auf jedem Handy empfangen werden können. Für die Nutzung von Authenticator-Apps ist hingegen zunächst eine Einrichtung nötig, was für weniger technikaffine Personen eine kleine Hürde darstellen kann. Dennoch bieten moderne Apps einfache QR-Code-Scanning-Mechanismen, um die Einrichtung zu erleichtern. Außerdem ist bei Authenticator-Apps die Verfügbarkeit unabhängig vom Mobilfunkempfang - die Codes können auch im Flugmodus generiert werden, was in Bereichen mit schlechtem Empfang ein Vorteil ist.
Fazit
Insgesamt gelten Authenticator-Apps als sicherer als SMS-Codes. Sie bieten einen höheren Schutz gegen gängige Angriffe wie SIM-Swapping, Abfangen oder Manipulation der Authentifizierungscodes. SMS-Codes sind zwar bequem und weit verbreitet, doch bergen aufgrund technischer Schwachstellen und Angriffsszenarien eine größere Sicherheitslücke. Wer seine Konten bestmöglich schützen möchte, sollte, wenn möglich, bevorzugt Authenticator-Apps verwenden. Als beste Praxis gilt zudem, niemals ein Passwort allein als Schutz zu verwenden, sondern stets eine Zwei-Faktor-Authentifizierung mit möglichst sicheren Methoden zu aktivieren.