Google Gmail: Das Ende der SMS-Authentifizierung naht
von caschy | 4 Kommentare
Google plant, bei seinem E-Mail-Dienst Gmail die Zwei-Faktor-Authentifizierung per SMS einzustellen. Diese Information stammt aus einem Gespräch zwischen Google-Mitarbeitern und dem Magazin Forbes.
Die Beweggründe für diese Entscheidung sind vielschichtig. Gmail-Sprecher Ross Richendrfer erläutert, dass das Unternehmen, parallel zur Ablösung klassischer Passwörter durch Passkeys, auch die SMS-basierte Authentifizierung beenden möchte. Als Ersatz sollen QR-Codes implementiert werden. Diese Maßnahme zielt darauf ab, den weltweit verbreiteten Missbrauch von SMS-Nachrichten einzudämmen.
Bislang nutzt Google SMS-Verifizierung hauptsächlich für zwei Zwecke: Zum einen zur Sicherheitsüberprüfung, um die Identität wiederkehrender Nutzer zu bestätigen. Zum anderen dient sie der Missbrauchskontrolle, beispielsweise um die massenhafte Erstellung von Gmail-Konten durch Kriminelle zu verhindern, die diese für die Verteilung von Spam und Schadsoftware nutzen.
Die Sicherheitsprobleme der SMS-Authentifizierung sind beträchtlich. Kimberly Samra und Ross Richendrfer von Google weisen auf mehrere Schwachstellen hin: Die Codes können durch Phishing abgefangen werden, Nutzer haben nicht immer Zugriff auf das Empfangsgerät und die Sicherheit hängt von den Praktiken der Mobilfunkanbieter ab. Besonders problematisch ist die Möglichkeit für Betrüger, durch geschickte Täuschung die Kontrolle über fremde Telefonnummern zu erlangen, wodurch der Sicherheitswert der SMS-Authentifizierung vollständig verloren geht.
Ein weiteres Problem stellt das sogenannte Traffic Pumping dar, auch bekannt als Gebührenbetrug. Bei dieser relativ neuen Betrugsmasche versuchen Kriminelle, Online-Dienstleister zur Versendung großer Mengen von SMS an kontrollierte Nummern zu veranlassen. Bei jeder empfangenen Nachricht kassieren die Betrüger eine Gebühr.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Zum Glück habe ich niemals GMail, sondern seriöse Anbieter genutzt, wie Outlook oder Proton.
SMS Verifikation, gerade mit zwei Nummern und zwei Handys ist, gerade für ältere Menschen und weniger technikaffine Personen, deutlich besser als irgendein Authentifikator oder QR-Codes.
Das mag die Technikblase anders sehen, aber ich würde eher auf GMail, als auf SMS verzichten.
Gibt ja glücklicherweise genügend bessere Alternativen zu GMail.
Sanfte Grüße
Ich wüsste jetzt nicht, was das mit Seriösität zu tun hat. Das klingt für mich einfach nach persönlicher Präferenz.
Zwei Handys mit jeweils einer Nummer, hat ja erstmal auch nicht jeder.
„Nutzer haben nicht immer Zugriff auf das Empfangsgerät“ – ist das nicht immer ein Problem bei 2FA / PassKey, wenn ich mich von einem neuen Gerät aus anmelden will?
Das war auch mein erster Impuls. Die Frage ist natürlich, ob man den zweiten Faktor anders gestalten kann.
Passkeys könnte ich zumindest auf mehreren Geräten anlegen. Sicherlich schwächt das ein wenig die Sicherheit, aber erhöht die Nutzbarkeit.
QR codes wären prinzipiell auch von mehr Endgeräten nutzbar. Vielleicht ist hier auch die Idee, dass Nutzer tendenziell mehr vertrauenswürdige Endgeräte haben? Ein Tablet beispielsweise noch?
Ich denke die Tendenz geht in Richtung biometrischer Verfahren als zweitem Faktor. Ich muss halt Handy/App immer mit Fingerabdruck o.ä. entsperren. Damit gebe ich den Passkeys frei, die Push-Anforderung oder eben den QR Code scanner.