Apple hat die Zwei-Faktor-Authentifizierung in iOS 12 vereinfacht, um dem System zu erlauben, automatisch Passwörter auszufüllen. Der Sicherheitsforscher Andreas Gutmann hat nun in einem ausführlichen Artikel dargelegt, dass das Entfernen des menschlichen Validierungsaspektes die Sicherheit senkt. Er empfiehlt, Banken sollten das Auto-Ausfüllen nicht für Transaktionsnummern zulassen.


SMS-Authentifizierung nicht absolut sicher
Der Forscher im Cambridge Innovation Center von OneSpan stellt fest, dass die Zwei-Faktor-Validierung über SMS (2FA) nicht die sicherste Form der Zwei-Faktor-Authentifizierung sei. Auch das National Institute of Standards and Technology (NIST) habe SMS als Kommunikationsmedium für eine sichere Authentifizierung kritisiert und es als unsicher und ungeeignet bezeichnet. Gutmann zieht die SMS-TAN als kritisches Beispiel heran. Der Benutzer müsse die SMS, aus der der Code bereits extrahiert wurde, nicht mehr öffnen und kontrolliere somit nicht mehr den Kontext der Transaktionsdaten. Diese Überprüfung sei aber der entscheidende Sicherheitsvorteil. Der Sinn der Transaktionsauthentifizierung sei eben, die Korrektheit der Absicht und nicht nur die Identität des Benutzers festzustellen. Fehlt sie, könnte ein Betrüger etwa ein Opfer mit Tricks dazu bringen, Geld auf ein anderes als das vorgesehene Konto zu überweisen. Um dies zu erreichen, stünden den Kriminellen "Social-Engineering-Techniken wie Phishing, Vishing und/oder Tools wie Man-in-the-Browser-Malware" zur Verfügung. Es bestehe etwa die Gefahr eines Man-in-the-Middle-Angriff beim Online-Banking, etwa per Injektion eines erforderlichen Eingabe-Tags oder über den Zugriff einer bösartigen Webseite oder Anwendung auf den legitimen Online-Banking-Service der Bank.

Banken schieben Risiko auf Kontoinhaber
Gutmann schreibt, es sei in jedem Fall erfreulich, dass die Benutzerfreundlichkeit von 2FA mehr Nutzer dazu bringen wird, überhaupt Zwei-Faktor-Authentifizierung zu verwenden. Bei der SMS-basierten Legitimation hafteten jedoch die Kunden für den Transfer, wenn sie ihre Transaktionsdaten nicht überprüften. Ob diese Risikoverlagerung auf die Nutzer gerechtfertigt ist, sei eine rechtliche und philosophische Frage. Banken empfiehlt Gutmann, die Kunden darüber aufzuklären, dass sie ihre Transaktionsdetails aufmerksam prüfen, speziell, wenn Sie TANs per iPhone erhalten. Die AutoFill-Funktion sollten die Kreditinstitute für Felder zur Eingabe von TANs deaktivieren und zusätzlich biometrische Verfahren implementieren. Gutmann nennt auch Out-of-Technology (nicht SMS-basierte Nachrichten) und/oder Push-Benachrichtigungen für Transaktionen mit höherem Risiko, etwa Geldtransfers. Zuletzt könnten mobile Anwendungen mit App Shielding und Runtime Application Self Protection (RASP) vor Eindringlingen geschützt werden.