NIST verweigert in seinen Richtlinien nicht länger SMS als 2FA-Methode zur digitalen Identitätsbestimmung

2 minutes read

Digital Identification

"NIST erklärt das Zeitalter der SMS-basierten Zweifaktoren-Authentifizierung 2FA für beendet", "US-Regierungsbehörde fordert das Ende der Authentifizierung per SMS".


Die beiden oben erwähnten Schlagzeilen stammen von den Tech-Online-Plattformen TechCrunch und Engadget. Beide Schlagzeilen wurden im Sommer 2016 veröffentlicht, nachdem die US-amerikanische Bundesbehörde NIST (engl. National Institute of Standards and Technology, zu deutsch also etwa "Nationales Zentrum für Normung und Technologie", ähnlich dem deutschen DIN-Institut) einen Entwurf veröffentlicht hat, der ausführt, dass SMS als Identifikationsmethode für die Zweifaktoren-Authentifizierung 2FA missbraucht wird.


NIST: Frühere Standpunkte völlig gekippt

Heute ist die Publikation längst kein Entwurf mehr, sondern die finale Version " NIST Special Publication 800-63B, Digital Identity Guidelines, Authentication and Lifecycle Management", das Dokument also, in welchem die Digitale Identität, die Authentifizierung und das Lifecycle Management normiert werden, wurde zum gültigen und endgültigen Dokument erklärt.


In der Entwurfsfassung des NIST war noch folgender Passus zu finden: "Aufgrund des Risikos, dass SMS-Nachrichten abgefangen oder umgeleitet werden, SOLLEN Anwender, die neue Systeme implementieren möchten, alternative Authentifikationsmethoden sorgfältig in Erwägung ziehen. Falls eine Out-of-Band-Authentifikation unter Verwendung einer SMS-Nachricht in einem öffentlichen Mobiltelefonnetzwerk durchgeführt werden soll, muss der Authentifizierer sicherstellen, dass die registrierte Telefonnummer tatsächlich einem Mobilfunknetz und nicht etwa einem VoIP (oder einem anderen softwarebasierten) Dienst zugeordnet ist."


In der endgültigen Fassung des Papiers hat das NIST den vorstehenden Passus nun offenbar vollständig verworfen. NIST vertritt nun vielmehr den Standpunkt, dass, "wenn eine Authentifizierung über SMS (also Out-of-Band) verwendet wird, der Authentifizierer SICHERSTELLT, dass die für den Authentifizierungsvorgang verwendete, registrierte Telefonnummer einem bestimmten physischen Gerät zugeordnet IST. [...]Authentifizierer SOLLEN Risikoindikatoren wie Gerätetausch, Änderung oder Austausch der SIM-Karte, Mitnahme der Rufnummer oder anderes auffälliges Verhalten berücksichtigen, bevor das Telefonnetz dazu verwendet wird, sensible Out-of-Band-Daten als Authentifizierungsmethode zu nutzen."


Ausschluss von Over-the-Top- (OTT)-Plattformen

NIST vertritt den Standpunkt, dass ausschließlich solche vorab registrierten Telefonnummern verwendet werden sollten, die mit einem physischen Gerät verbunden sind. Eine solche Vorgehensweise schließt aber sämtliche Nachrichten zur Zweifaktoren-Authentifizierung 2FA, die an Plattformen wie WhatsApp, Facebook Messenger, WeChat, Google Voice und andere Dienste gesendet werden, eindeutig aus, da ebenjene Dienste nicht nur mobil, sondern auch auf Desktopcomputern verwendet werden können und deren Benutzer via Desktop gerade nicht notwendigerweise durch eine SIM-Karte identifiziert werden.


Im Gegensatz zu mancher vorherigen Berichterstattung hat das NIST nun nicht nur die Aussage fallen gelassen, dass SMS als Methode zur Zweifaktoren-Authentifizierung 2FA nicht mehr verwendet werden sollte, sondern auch die Richtlinien bestätigt, welche die weltweiten Telekommunikationsunternehmen seit Jahren verfolgen. Das NIST bestätigt, dass Zweifaktoren-Authentifizierung 2FA via SMS als gültiger Authentifizierungskanal anerkannt ist.


Zeitlich perfekt abgestimmt

Die bevorstehende Entscheidung über die Payment Services Directive II (PSDII), also die Zahlungsdiensterichtlinie II), erfordert eine starke Authentifizierungsmethode der Kunden für in Europa stattfindende digitale Zahlungsvorgänge. Dies wird den Nutzungsanteil der Zweifaktoren-Authentifizierung per SMS signifikant erhöhen. Die Empfehlungen des NIST zur Weiterentwicklung der Zweifaktoren-Authentifizierung 2FA per SMS kommen daher zum perfekten Zeitpunkt und werden hoffentlich von den Märkten weithin akzeptiert.

mehr über 2FA




Continue reading

Previous Infographic: The history of SMS
Next Mobile Marketing zu Weihnachten: 5 Tipps
Back To news overview

Diese Seite mit jemandem Teilen

Über den Autor

Erik Eggens

Kontakt mit Erik an

LinkedIn, Twitter.