- Google plant, SMS-Codes bei der Gmail-Authentifizierung durch QR-Codes zu ersetzen. Sicherheitsanalysen zeigen, dass SMS keine verlässliche Methode für die Verifizierung ist. Google experimentiert mit Alternativen wie hardwarebasierten Sicherheitsschlüsseln, um Sicherheitsrisiken zu minimieren. SIM-Swapping und Identitätsdiebstahl sind Risiken bei der SMS-Verifizierung. Der SDMQR-Code, eine Innovation der Universität Rochester, könnte eine sichere QR-Code-Lösung bieten.
Schon seit der Einführung der Zwei-Faktor-Authentifizierung (2FA) durch Google für Gmail und die damit verbundenen Authentifikationsprotokolle hat sich der SMS-Code als unverzichtbares Element etabliert. Doch aktuelle Sicherheitsanalysen offenbaren, dass SMS-Codes ihre Tücken haben, insbesondere wenn dieser Kommunikationskanal unverschlüsselt bleibt. Dies steht jedoch vor einer bedeutenden Änderung: Bald schon sollen SMS-Codes bei der Gmail-Authentifizierung durch QR-Codes abgelöst werden.
In Sachen Kontosicherheit ist SMS keine verlässliche Alternative für den Empfang sensibler Verifizierungscodes oder einmaliger Passwörter (OTP) auf Mobiltelefonen. Aus diesem Grund hat Google in den letzten Jahren verstärkt mit Alternativen wie hardwarebasierten Sicherheitsschlüsseln experimentiert, um Risiken wie etwa SMS-Phishing minimal zu halten.
Die Gefahr von SMS
Google plant nun, die SMS-basierte Verifizierung für die Gmail-Authentifizierung gänzlich einzustellen. „Wir wollen, ähnlich wie beim Übergang zu passwortfreien Technologien, auch von der SMS für Authentifizierungszwecke abrücken,“ ließ der Gmail-Sprecher Ross Richendrfer verlauten. Der Empfang von Codes via SMS mag praktisch sein, doch er birgt Risiken, die über die bloße Kommunikationsstrecke hinausgehen. SIM-Swapping, Social Engineering, und Identitätsdiebstähle sind ebenfalls bewährte Methoden, und wenn diese Strategien zum Einsatz kommen, erreicht der legitime Inhaber seine SMS-Verifizierungscodes oft nicht.
Differenzierung durch QR-Codes
Binnen der kommenden Monate wird Google daran arbeiten, statt dessen QR-Codes zu etablieren, die die Anwender einfach mit der Kamera-App ihres Telefons einlesen. Zwar hat das Unternehmen bislang wenige technische Details dieser Pläne veröffentlicht, es scheint jedoch, als müsste ein gesicherter QR-Code-Abgleich mit einem verifizierten Mobiltelefon erfolgen. QR-Codes sind dabei nicht von Natur aus narrensicher. QR-Betrug ist hinlänglich bekannt. Doch ein System, das auf einen lokalen Dekodierungsschlüssel oder einen sicheren öffentlichen Schlüssel zwischen zwei vertrauenswürdigen Parteien basiert, bietet mehr Sicherheit und Geschwindigkeit.
Eine solche Innovation, die in letzter Zeit Aufmerksamkeit erlangte, ist der SDMQR-Code. Entwickelt von Experten an der Universität Rochester, basiert er auf einem kryptographischen Signatursystem, das nur mit einem digitalen privaten Schlüssel entsperrt werden kann. Solche spezialisierten QR-Codes benötigen keine spezielle Scan-App und können weltweit auf Betriebssystemebene auf mobilen Endgeräten implementiert werden.
