zurück zum Artikel

In kommenden Guidelines der US-Bundesbehörde NIST soll die SMS nicht mehr zur Zwei-Faktor-Authentifizierung vorkommen. Mit den aktuellen Empfehlungen will es das Institut Angreifern erschweren, die hinterlegte Nummer auszutauschen.

Im aktuellen Entwurf 800-63B der Digital Authentication Guideline spricht sich die US-Bundesbehörde NIST (National Institute of Standards and Technology) künftig gegen den Einsatz von SMS-Nachrichten für die Zwei-Faktor-Authentifizierung aus. Das geht aus Sektion 5.1.3.2 des Dokuments [1] hervor, laut der das Verifizieren per SMS in kommenden Ausgaben der Guideline nicht mehr enthalten sein soll.

Noch ist die Technik Bestandteil des Entwurfs, jedoch gibt auch hier das NIST strenge Empfehlungen vor. So soll ein Anbieter sicherstellen, dass es sich tatsächlich um eine Telefonnummer im regulären Mobilfunknetz und nicht um ein VoIP-System handelt. Außerdem sollen Nutzer die hinterlegte Telefonnummer nicht mehr ohne eine zweite Authentifizierung ändern können. Dies soll es Angreifern erschweren, die registrierte Nummer beim Anbieter auszutauschen. (fo [2])

URL dieses Artikels:
https://www.heise.de/-3278027

Links in diesem Artikel:
[1] https://pages.nist.gov/800-63-3/sp800-63b.html#sec5
[2] mailto:fo@heise.de

Copyright © 2016 Heise Medien