Taugt SMS noch für 2FA?

1. SMS werden, da fast gratis, vermehrt zu Werbezwecken verwendet. Provider reagieren darauf und schützen ihre Kunden indem sie SMS aus dem Ausland oder SMS via Internet an ihre Kunden gar nicht mehr zustellen bzw. nur noch solche aus GSM-Netzwerken zulassen.
2. Smishing (= Phishing, also Betrug per SMS), angeblich von einer vertrauenswürdigen Quelle, der den Empfänger dazu bringen soll, persönliche Informationen preiszugeben, wird auch immer verbreiteter.
3. 1) und 2) führen dazu, dass SMS, die nicht von einer gültigen Natelnummer verschickt werden, von den Providern immer häufiger geblockt werden. Eine Hotline-Nummer oder einen Text als Absender zu hinterlegen ist inzwischen unmöglich.
4. SMS bietet keine Garantie was die Auslieferungszeit angeht. Das ist denkbar ungünstig, wenn man sich gerade einloggen will.
5. Damit SMS über die Netzwerk-Grenzen des eigenen Providers verschickt werden können, handeln Netzbetreiber untereinander Roaming-Verträge aus. Für SMS-Empfang im Ausland können diese Verträge allerdings zu Stolpersteinen werden. Denn Provider wechseln sich ab und nicht jeder von ihnen hat mit jedem anderen Roaming-Verträge. Gleichzeitig werden SMS von den Telekommunikationsunternehmen zu Schleuderpreisen «en gros» an SMS-Dienstleister verkauft. Diese verschicken die SMS über den kostengünstigsten Weg. Das führt dazu, dass es in vielen Situationen unklar ist, welchen Weg die SMS durchlaufen, was ein Troubleshooting nahezu verunmöglicht. Wenn die SMS nicht ankommen, liegt es meistens daran, dass der SMS-Dienstleister seine SMS über ein Telekommunikationsunternehmen zu verschicken versucht, welches keinen Roaming-Vertrag mit dem Absender hat.
6. SMS lassen sich hacken. Einerseits ist das GSM-Protokoll an sich unsicher. Es ist ohne viel Aufwand oder besonderes Wissen möglich, SMS von fremden Nummern zu schicken, ohne dass der Empfänger dies merkt. Zudem kann eine zweite SIM-Karte auf die gleiche Handynummer erstellt werden, die ebenfalls alle SMS bekommt. Auch gibt es Apps, die ankommende SMS ohne Wissen des Handybesitzers mitlesen und weitersenden.

Aus obigen Gründen können wir SMS, also mTAN, als 2FA-Verfahren nicht mehr empfehlen. 

Allerdings muss auch gesagt werden, dass eine SMS-basierte Authentifizierung immer noch sicherer ist, als überhaupt keine zweistufige Authentifizierung. 

Glücklicherweise gibt es inzwischen zahlreiche andere Verfahren, die den 2. Faktor mit besseren Mitteln gewährleisten. Ein OTP, also ein Einmalkennwort, wie z.B. jenes vom Google Authenticator als 2FA kostet nichts, ist einfach zu konfigurieren und funktioniert gleich auf mehreren Geräten.

Unsere IAM-Lösungen unterstützen zudem eine Vielzahl an Möglichkeiten für den zweiten Faktor: RSA-Token, E-Mail-OTP, Kobil SecOVID, Swisscom Mobile ID (Mobile Signature Services), Client-Zertifikate wie X.509 oder SwissID, OneSpan (VASCO) Digipass sowie CRONTO Visual Transaction Signing und FUTURAE Authentication Suite.

• Was ist ein One-Time Password (OTP)?
• Zwei-Faktor-Authentifizierung - Kurz erklärt (aspectra-Blog)
• Risikobasierte Authentifizierung (aspectra-Blog)