In den letzten Jahren ist der Begriff „zweiter Faktor“ zu einem Marketingbegriff verkommen. Formal existiert er, praktisch bietet er jedoch oft keinen realen Schutz.
Wenn Ihr Konto weiterhin durch per Kurznachricht versandte Codes oder durch Codes aus Messenger-Anwendungen geschützt ist, sollten Sie davon ausgehen, dass Sie faktisch keinen zweiten Faktor besitzen.
Sehen wir uns die Gründe dafür an.
Warum Kurznachrichten nicht mehr als Schutz gelten
Kurznachrichten sind kein Sicherheitsmechanismus. Sie sind ein Relikt aus der Telekommunikationsära. Sie wurden niemals als sicherer Kanal konzipiert.
Zentrale Probleme:
1. Die Übernahme von SIM-Karten ist kein Ausnahmefall
Die Neuausstellung einer SIM-Karte durch soziale Manipulation ist ein routinemäßiger Vorgang. Ein Ausweisdokument, ein angeblicher Fehler des Mobilfunkanbieters oder interner Zugriff reichen häufig aus.
Das Ergebnis: Die Telefonnummer gelangt in die Hände eines Angreifers, und mit ihr auch die Codes.
2. Signalübertragungssystem Nummer Sieben und Telekommunikationsinfrastruktur
Signalisierungsnetze wurden vor Jahrzehnten entworfen. Das Abfangen von Kurznachrichten ist möglich, ohne physischen Zugriff auf das Telefon zu haben.
3. Der Mobilfunkanbieter ist ein einzelner Ausfallpunkt
Durch Roaming-Probleme, Sperren oder technische Störungen kann der Zugriff auf Ihre Konten verloren gehen.
4. Keine Verschlüsselung
Kurznachrichten werden im Klartext übertragen und gespeichert. Wo, wie lange und von wem sie verarbeitet werden, liegt außerhalb Ihrer Kontrolle.
Fazit: Kurznachrichten sind ein Komfortfaktor, kein Sicherheitsfaktor.
Messenger-Anwendungen anstelle von Kurznachrichten — noch schlechter
Der Versuch, Kurznachrichten durch Messenger-Anwendungen zu „verbessern“, ist ein klassisches Beispiel für ein Schein-Upgrade.
Um einen sechsstelligen Code zu erhalten, müssen Sie:
- eine schwere Anwendung installieren,
- eine Telefonnummer verknüpfen,
- Metadaten preisgeben,
- von einer Internetverbindung abhängig sein,
- proprietärem Quellcode vertrauen.
Dies vergrößert die Angriffsfläche statt sie zu verkleinern.
Aus Sicherheitssicht ist es unsinnig.
Aus Sicht des Datenschutzes ist es eindeutig schädlich.
Was zeitbasierte Einmalpasswörter grundlegend verändern
Zeitbasierte Einmalpasswörter sind kein Produkt und keine Marke. Sie sind ein offener Standard.
Die Grundidee lautet:
👉 Der Code wird nicht übertragen, sondern lokal berechnet.
Was dies in der Praxis bedeutet:
- Kein Übertragungskanal → nichts, was abgefangen werden kann
- Offline nutzbar → keine Abhängigkeit von Mobilfunkanbietern oder Diensten
- Keine Telefonnummer → geringere Kopplung an die Identität
- Vorhersehbares Bedrohungsmodell → Kryptografie statt „Cloud“
Der Server und Ihr Gerät führen lediglich dieselbe Berechnung durch und kennen:
- einen gemeinsamen geheimen Schlüssel;
- die aktuelle Zeit.
Sie kommunizieren nicht miteinander. Darin liegt die Stärke dieses Verfahrens.
Wichtige Punkte, über die kaum gesprochen wird
1. Nicht der Code schützt, sondern der geheime Schlüssel
Die sechsstellige Zahl ist lediglich eine Darstellung.
Wenn der geheime Schlüssel kompromittiert wird, ist das zeitbasierte Einmalpasswort faktisch wirkungslos.
Deshalb gilt:
- Ein Schnellantwortcode entspricht dem geheimen Schlüssel,
- ein Bildschirmfoto entspricht einer potenziellen Kompromittierung,
- Speicherung in der Cloud bedeutet ein Risiko.
Bei Verdacht auf Kompromittierung des geheimen Schlüssels muss die Zwei-Faktor-Authentifizierung sofort zurückgesetzt werden.
2. Zeitbasierte Einmalpasswörter schützen nicht vor serverseitigem Phishing
Dies ist eine grundlegende Einschränkung dieser Mechanismusklasse.
Wenn:
- Sie den Code auf einer gefälschten Internetseite eingeben,
- der Angreifer diesen Code unmittelbar auf der echten Seite verwendet,
kann das zeitbasierte Einmalpasswort nichts verhindern.
Daher:
- Melden Sie sich nur über Lesezeichen oder Passwortmanager an;
- prüfen Sie den Domainnamen strikt;
- keine „dringende Nachricht“ rechtfertigt die Eingabe eines Codes.
3. Sicherungskopien sind keine Option, sondern eine Pflicht
Ohne Sicherungscodes bedeutet der Verlust des Telefons den Verlust des Kontozugriffs.
Die Regel ist einfach:
- Schreiben Sie die Sicherungscodes auf;
- bewahren Sie sie offline oder in einem Passwortmanager auf;
- verlassen Sie sich nicht auf „das mache ich später“.
Was im Jahr zweitausendfünfundzwanzig verwendet werden sollte
Minimal sinnvolle Auswahl
- Aegis für Android: quelloffene Software mit lokal verschlüsselten Sicherungen
- Integrierte zeitbasierte Einmalpasswörter in iOS-Systemen oder Passwortmanagern — eine akzeptable Lösung
Mit Vorsicht zu verwenden
- Google Authenticator mit Cloud-Synchronisation
(die Übernahme des Kontos bedeutet den Verlust aller Faktoren)
Besser als zeitbasierte Einmalpasswörter
- Der Web-Authentifizierungsstandard, Passkeys und die zweite Version der schnellen Identitätsbestätigung
Phishing-Resistenz ist direkt in das Design integriert.
Zeitbasierte Einmalpasswörter sind das Basisniveau. Passkeys sind der nächste Schritt.
Zusammenfassung
- Kurznachrichten als Sicherheitsfaktor sind tot
- Messenger-Anwendungen sind Marketing unter dem Deckmantel von Sicherheit
- Zeitbasierte Einmalpasswörter sind das minimal akzeptable Niveau, keine „fortgeschrittene Option“
- Die größten Risiken liegen nicht im Algorithmus, sondern in der Disziplin der Nutzer
- Die Zukunft gehört phishing-resistenter Authentifizierung
Wenn ein Dienst im Jahr zweitausendfünfundzwanzig weder zeitbasierte Einmalpasswörter noch den Web-Authentifizierungsstandard anbietet, ist das kein Produktmerkmal, sondern ein Warnsignal.
Hinweis.
Wenn Sie dies Familienmitgliedern oder nichttechnischen Nutzern erklären, stellen Sie sicher, dass sie:
- den geheimen Schlüssel oder die Sicherungscodes aufschreiben,
- das Telefon nicht als einzigen Ausfallpunkt verwenden.
Andernfalls endet der Prozess bei Supportanfragen, formalen Prüfungen und dauerhaftem Zugriffsverlust.
