Passwort-Wissen
Risiken von SMS-Codes
Der Bestätigungscode per SMS ist weit verbreitet und besser als nichts. Doch er gehört zu den schwächsten Formen der Zwei-Faktor-Authentifizierung.
Bei der Zwei-Faktor-Authentifizierung per SMS sendet der Dienst einen Einmalcode an deine Mobilnummer. Das ist bequem, hat aber mehrere bekannte Schwachstellen. Beim sogenannten SIM-Swapping überzeugen Angreifer den Mobilfunkanbieter, deine Nummer auf eine fremde SIM-Karte zu übertragen, und fangen die Codes anschließend selbst ab.
Hinzu kommt, dass SMS-Codes auf gefälschten Login-Seiten abgefragt und in Echtzeit weitergeleitet werden können, sodass auch Phishing greift. Die Übertragung erfolgt zudem nicht durchgehend verschlüsselt. Wo immer möglich, sind eine Authenticator-App mit zeitbasierten Codes oder ein Hardware-Token deutlich sicherer. Trotz dieser Schwächen gilt: SMS-2FA ist immer noch besser als gar kein zweiter Faktor.
Das solltest du wissen
- Wo verfügbar, eine Authenticator-App oder einen Hardware-Token statt SMS-Codes nutzen.
- Beim Mobilfunkanbieter eine Kunden-PIN oder einen Portierungsschutz gegen SIM-Swapping einrichten.
- Erhaltene Codes niemals an Anrufer oder über Links weitergeben, denn Dienste fragen sie so nie ab.
- Bei plötzlichem Verlust des Mobilfunknetzes hellhörig werden, das kann ein Zeichen für SIM-Swapping sein.
SMS-Codes sind ein Kompromiss zwischen Komfort und Sicherheit. Für sensible Konten solltest du auf eine App oder einen Hardware-Token umsteigen.
Wie sicher ist dein Passwort?
Tippe es in den Passwort-Check. Die Prüfung läuft komplett lokal im Browser, dein Passwort verlässt nie dein Gerät.
Passwort jetzt prüfenMehr zum Thema Sicherheit
Zwei-Faktor-Authentifizierung (2FA)
Ein zweiter Faktor schützt Konten selbst dann, wenn das Passwort bereits in fremde Hände geraten ist.
Hardware-Token (FIDO2)
Ein Hardware-Token ist ein physischer Sicherheitsschlüssel für die Anmeldung. Als FIDO2-Gerät bietet er einen sehr starken Schutz gegen Phishing.
Social Engineering
Beim Social Engineering greifen Täter nicht die Technik an, sondern den Menschen. Sie nutzen Vertrauen, Stress und Hilfsbereitschaft aus, um an Passwörter zu kommen.