Die Cybersecurity and Infrastructure Security Agency (CISA) hat eine umfassende Empfehlung herausgegeben, die Benutzer vor den Risiken warnt, die sich daraus ergeben, sich bei der Multi-Faktor-Authentifizierung (MFA) auf Short Message Service (SMS) zu verlassen.
Diese Empfehlung ist ein zentraler Bestandteil von CISAs neue „Mobile Communications Best Practice Guidance”, die darauf abzielt, die Sicherheit der Mobilkommunikation zu stärken, insbesondere für Personen, die Ziel raffinierter Cyberangriffe sind.
Die am 18. Dezember 2024 veröffentlichte Empfehlung erfolgt inmitten zunehmender Cyber-Bedrohungen, insbesondere durch staatlich geförderte Akteure, die es auf sensible Kommunikation abgesehen haben.
„SMS MFA ist nicht Phishing-resistent und stellt daher keine starke Authentifizierung für Konten besonders gezielter Personen dar“, heißt es in der Empfehlung und unterstreicht damit die Forderung der Behörde nach sichereren Alternativen wie Fast Identity Online (FIDO)-Authentifizierungsprotokollen.
Verwandt: Kritische Microsoft-MFA-Lücke hat Millionen von Benutzerkonten aufgedeckt
Warum SMS-MFA anfällig ist
SMS-basierte MFA ist schon seit langem anfällig Aufgrund seiner Einfachheit und weiten Verbreitung ist es eine beliebte Wahl für die Sicherung von Online-Konten. CISA identifiziert jedoch zwei große Schwachstellen, die SMS MFA für moderne Cybersicherheitsherausforderungen ungeeignet machen.
Erstens werden SMS-Nachrichten im Klartext übertragen, wodurch sie anfällig für das Abfangen durch Angreifer sind, die sich Zugang zu Telekommunikationsnetzen verschafft haben. Zweitens mangelt es SMS MFA an Phishing-Resistenz, was bedeutet, dass Bedrohungsakteure Benutzer leicht dazu verleiten können, ihre Authentifizierungscodes über betrügerische Nachrichten oder Websites weiterzugeben.
Verwandt: AWS stellt Incident Response Service inmitten explodierender Cyberangriffe vor Bedrohungen
Diese Schwachstellen wurden von staatlich geförderten Akteuren ausgenutzt, insbesondere solchen mit Bezug zu China. Solche Akteure haben die Telekommunikationsinfrastruktur ins Visier genommen, um SMS-Nachrichten abzufangen und sensible Konten zu kompromittieren.
In seiner Empfehlung warnt CISA, dass Personen mit hohem Risiko, wie Regierungsbeamte und Personal kritischer Infrastrukturen, besonders anfällig für diese Angriffsformen sind.
Der Übergang zu Phishing-resistente Authentifizierung
Um diesen Risiken zu begegnen, empfiehlt CISA den Übergang zu phishing-resistenten MFA-Methoden, mit einem starken Schwerpunkt auf FIDO-Authentifizierung. FIDO-Protokolle nutzen kryptografische Schlüssel zur Authentifizierung von Benutzern, ohne sensible Daten über unsichere Netzwerke zu übertragen.
Hardwarebasierte Sicherheitsschlüssel wie Yubico oder Google Titan werden als die robustesten hervorgehoben Option, obwohl auch FIDO-Passkeys – digitale kryptografische Anmeldeinformationen – als akzeptable Alternativen gelten.
„Sobald Sie sich für die FIDO-basierte Authentifizierung angemeldet haben, deaktivieren Sie andere, weniger sichere Formen von MFA“, heißt es in der Anleitung rät. Dadurch wird sichergestellt, dass Fallback-Optionen wie SMS nicht versehentlich ausnutzbare Schwachstellen schaffen.
Verwandt: Microsoft aktualisiert Windows 11 WebAuthn-APIs, um Passkeys von Drittanbietern zu ermöglichen
Umfassendere Empfehlungen für die mobile Sicherheit
Zusätzlich zur Empfehlung gegen SMS-MFA bieten die Leitlinien von CISA eine Reihe bewährter Methoden zur Sicherung der mobilen Kommunikation Die Einführung von Ende-zu-Ende-verschlüsselten Messaging-Plattformen wie Signal, um sicherzustellen, dass die Kommunikation privat und geschützt bleibt.
Die regelmäßige Aktualisierung der Gerätesoftware ist ebenfalls von entscheidender Bedeutung, da Updates häufig Patches für bekannte Schwachstellen enthalten. CISA empfiehlt außerdem die Verwendung von Passwort-Managern zum Generieren und sicheren Speichern einzigartiger Passwörter, um so das Risiko einer Kontokompromittierung aufgrund schwacher oder wiederverwendeter Anmeldeinformationen zu verringern.
Die Empfehlung warnt auch vor der Verwendung persönlicher virtueller privater Netzwerke (VPNs). , mit der Begründung, dass sie Schwachstellen von Internetdienstanbietern auf VPN-Anbieter verlagern können. Stattdessen werden Organisationen dazu ermutigt, Lösungen der Enterprise-Klasse zu verwenden, wenn ein VPN-Zugriff erforderlich ist.
Verwandt: KI-gesteuerte Malware: Wie gefälschte Apps und CAPTCHAs Windows-und macOS-Benutzer angreifen
Grundlegendes zur FIDO-Authentifizierung
Fast Identity Online (FIDO) Die Authentifizierung ist von großer Bedeutung Fortschritte bei der Kontosicherheit. Im Gegensatz zu herkömmlichen MFA-Methoden verlässt sich FIDO zur Authentifizierung von Benutzern auf die Kryptografie mit öffentlichen Schlüsseln.
Wenn ein Benutzer ein Gerät registriert, wird ein privater kryptografischer Schlüssel generiert und sicher auf dem Gerät gespeichert, während ein entsprechender öffentlicher Schlüssel auf dem Server gespeichert wird. Während der Anmeldung signiert das Gerät eine Server-Challenge mit dem privaten Schlüssel und stellt so sicher, dass vertrauliche Informationen das Gerät niemals verlassen.
Diese Methode bietet robusten Schutz vor Phishing und Man-in-the-Middle-Angriffen und ist somit ein unverzichtbares Instrument zum Schutz hochwertiger Konten. Durch den Wegfall der Notwendigkeit der Übertragung von Codes behebt die FIDO-Authentifizierung die zentralen Schwachstellen der SMS-MFA.
Der umfassendere Cybersicherheitskontext
Die Leitlinien von CISA sind Teil eines größere Anstrengungen zur Bekämpfung der wachsenden Bedrohung durch staatlich geförderte Cyber-Akteure. In den letzten Jahren haben böswillige Kampagnen gegen Telekommunikationsinfrastrukturen zugenommen, die es Angreifern ermöglichen, private Kommunikation abzufangen und sensible Daten zu extrahieren.
Die Leitlinien richten sich speziell an Personen in risikoreichen Positionen, wie z. B. hochrangige Regierungsbeamte und Unternehmensleiter, die oft im Fokus dieser hochentwickelten Cyberangriffe stehen.
„Sehr gezielte Personen sollten davon ausgehen „Die gesamte Kommunikation zwischen mobilen Geräten ist dem Risiko ausgesetzt, abgefangen oder manipuliert zu werden“, warnt der Leitfaden. Diese klare Einschätzung spiegelt die sich entwickelnde Natur von Cyber-Bedrohungen wider und unterstreicht die Bedeutung der Implementierung strengerer Sicherheitsmaßnahmen.
