2FA: Apple-Projekt für sicherere SMS-Codes schreitet voran
Apple hat eine Spezifikation vorgestellt, die das Einfügen von SMS-Codes im Browser vereinfachen und absichern soll. Auch Google ist mit an Bord.
(Bild: dpa, Fernando Gutierrez-Juarez)
- Leo Becker
Apple will SMS-Codes bei der Zwei-Faktor-Authentifizierung besser absichern: Der Konzern hat eine erste Spezifikation für "ursprungsgebundene per SMS ausgelieferte Einmal-Codes" vorgelegt – in Zusammenarbeit mit Google. Der Entwurf will ein einheitliches Format etablieren, damit Browser die SMS-Codes beim Login automatisch eintragen können – in einer möglichst sicheren Form.
Einheitliches Format soll SMS-Codes absichern
Ohne ein standardisiertes Format sei das Extrahieren der SMS-Codes durch den Browser oder das Betriebssystem potenziell "unzuverlässig und fehleranfällig", heißt es in der von der Web Platform Incubator Community Group veröffentlichten Spezifikation. Zudem müsse sich der Ursprung des Codes – sprich der Absender – eindeutig feststellen lassen, damit der Code nicht auf einer falschen oder manipulierten Webseite eingegeben werden kann. Die als "inoffizieller Entwurf" geführte Spezifikation ist kein Standard des World Wide Web Consortium (W3C), heißt es weiter – und sei derzeit auch nicht auf dem W3C-Standards-Track.
Mit Apple und Google sind allerdings nicht nur zwei große Browser-Hersteller mit an Bord, sondern auch die zwei größten Anbieter von Mobilbetriebssystemen. iPhone-, iPad- und Mac-Nutzer schätzen eine derartige Funktion bereits: Beim per Zwei-Faktor-Authentifizierung geschützten Login auf einer Webseite oder in einer App wird der per SMS geschickte Einmal-Code automatisch von der Tastatur zum Einfügen vorgeschlagen. Den Code muss man sich also nicht merken oder erst aus der Nachricht kopieren. Eine Autofill-Funktion für SMS-Codes würde den Prozess noch weiter vereinfachen.
SMS-Codes problematisch – aber viel im Einsatz
In der Spezifikation wird zugleich betont, dass die Technik viele andere Risiken von SMS-basierten Zwei-Faktor-Codes nicht beseitigen kann wie etwa SIM-Swapping oder gefälschte SMS-Nachrichten, wie die Unternehmen in den Entwurf betonen. Seitenbetreiber sollten nach Möglichkeit zur Authentifizierung auf Nicht-SMS-Techniken wie Web-Authentifcation setzen. Apples WebKit-Team hatte die neue Technik für SMS-Codes Anfang des Jahres unterbreitet, diese seien schließlich weiterhin eine populäre und universelle Methode, um Zwei-Faktor-Codes auszuliefern. (lbe)
