Die Zwei-Faktor-Authentifizierung (2FA) ist eine zuverlässige Sicherheitsmaßnahme, um Konten vor Hackern zu schützen. Doch wie bei jeder Sicherheitsmaßnahme gibt es auch hier verschiedene Angriffsstrategien, die es Hackern ermöglichen, die Sicherung auszuhebeln. Wir geben Tipps, wie Sie sich vor diesen Angriffen schützen können und führen Sie durch einen Schritt-für-Schritt-Angriff auf eine Zwei-Faktor-Authentifizierung.

Die Zwei-Faktor-Authentifizierung besteht aus zwei Schritten, um den Benutzer zu authentifizieren: Der erste Schritt ist normalerweise das Einloggen mit Benutzername und Passwort. Der zweite Schritt ist dann eine zusätzliche Überprüfung, wie eine SMS, eine Push-Benachrichtigung (zb per Ident-APP am Handy) oder eine Sicherheitsfrage. Dieser zweite Schritt soll sicherstellen, dass der Benutzer tatsächlich derjenige ist, der er vorgibt zu sein. Doch wie bereits erwähnt, gibt es Angriffsstrategien, die es Hackern ermöglichen, die Zwei-Faktor-Authentifizierung zu umgehen.

Eine der häufigsten Angriffsstrategien ist das sogenannte „Phishing„. Hierbei versuchen Hacker, Benutzer dazu zu bringen, ihre Benutzernamen und Passwörter auf gefälschten Websites einzugeben. Sobald die Hacker diese Informationen haben, können sie sich anmelden und versuchen, die Zwei-Faktor-Authentifizierung zu umgehen, indem sie sich beispielsweise als der Benutzer ausgeben und den Code, der per SMS oder Push-Benachrichtigung gesendet wird, abfangen.

Eine weitere Angriffsstrategie ist das „SIM-Swapping„. Hierbei übernehmen Hacker die Kontrolle über die Mobilfunknummer des Benutzers, um den 2FA-Code abzufangen. Die Hacker überzeugen den Mobilfunkanbieter des Benutzers, dass sie der rechtmäßige Inhaber der Nummer sind, und lassen die Nummer auf ein anderes Gerät übertragen, das sich in ihrem Besitz befindet. Sobald dies geschehen ist, erhalten die Hacker alle SMS und Anrufe, die an diese Nummer gesendet werden, und können so den 2FA-Code abfangen.

„Um sich vor diesen Angriffsstrategien zu schützen, gibt es einige wichtige Schritte, die Sie befolgen sollten. Wir helfen gerne!“

ing. alfred gunsch, it-sicherheitsplaner
  • Ein weiterer wichtiger Schritt ist es, die SMS-basierte Zwei-Faktor-Authentifizierung zu vermeiden, da diese oft anfällig für Angriffe sind. Verwenden Sie stattdessen eine Authentifizierungs-App wie Google (oder Microsoft-) Authenticator oder Authy, die den 2FA-Code direkt auf Ihrem Gerät generieren und keine SMS oder Push-Benachrichtigung benötigen.

Gerne steht das siplan-team für Fragen zur Verfügung und helfen wir natürlich auch bei der Umsetzung.