Risiko von Phone-Porting Angriffen? Besser Google Authenticator?

[Randalf]

Hallo zusammen,

ich bin noch recht neu beim Thema Krypots und habe jetzt mal zu Testzwecken einen Account bei einer Börse eröffnet, standardmäßig mit Zwei-Faktor-Authentifizierung via SMS.

Jetzt habe ich gelesen, dass das Risiko von Phone-Porting Angriffen besteht, dh. der Angreifer schafft es über den Support des Mobilfunkanbieters die Nummer zu kapern und auf ein eigenes Device umzustellen. Davon waren wohl schon ein paar amerikanische User betroffen.

Meine Frage: Wie hoch ist das Risiko solcher Attacken in Deutschland? Ich kann mir kaum vorstellen, dass meine deutsche Nummer von irgendwem irgendwohin portiert werden kann, ohne dass ich vorher schriftlich zustimme?

Viele Börsen empfehlen auch den Google Authenticator. Ich frage mich aber, ob diese Methode nicht angreifbarer ist, sofern der Authenticator zB. auf einem Mobile-System verwendet wird, das nicht 100 % aktuell ist

Habt ihr da Erfahrungen/Einschätzungen?

[Zeix]

Denk mal so. Um den Authenticator anzugreifen, braucht jemand Zugriff auf dein Handy. Wer das schafft, kann auch schon problemlos deine SMS mitlesen. Der Authenticator überträgt keinerlei Daten ins Internet. Wenn du Bedenken hast, dann nimm ein altes Smartphone, das du nicht mehr brauchst, ohne SIM Karte.

Abgesehen von der Sicherheit, bedenke auch, SMS ist kein 100% zugesicherter Service, es kann immer wieder Ausfälle geben, zu spät ankommen usw. Wenn dus mal dringend brauchst, kommt die SMS nicht. Was machst du dann? Dich bei Coinbase beschweren? Die Analyse, warum deine SMS nicht kam, kann Tage dauern, weil die SMS international über etliche Subprovider verschickt werden.

[Randalf]

Danke für Deine Einschätzung!

Dass es bei SMS zu Verzögerungen kommen kann, ist natürlich richtig, vielleicht sogar besonders in Stoßzeiten ... ich werde mir den Authenticator auf jeden Fall mal ansehen!

[anakrea]

Zu der Wahrscheinlichkeit und dem Risiko eines Phone-Porting Angriffs kann ich dir leider nichts sagen.

Solltest du dich jedoch für Google-Authenticator entscheiden, mach dir auch Gedanken um ein mögliches Backup. So ein Handy kann schnell auch mal kaputt oder verloren gehen... Diskussionen darüber findest du auch hier im Forum (z.B. https://bitcointalk.org/index.php?topic=2703835.0 oder https://bitcointalk.org/index.php?topic=370473.0)

[Randalf]

Besten Dank für die Info, schaue ich mir mal an. Habe den Authenticator gerade mal getestet, funktionierte erst nicht, bis ich dann drauf kam, die Serverzeit mal zu synchronisieren Seither funktioniert alles problemlos!

Den sogenannten "geheimen Schlüssel" habe ich mir auf Papier notiert - der müsste doch auch für eine Wiederherstellung im Notfall reichen, oder?

[Bertrannus]

korrekt - aber schreibe dir dazu, zu welchem Dienst der Schlüssel gehört. Empfehle ich dir aus eigener Erfahrung
Da das System zeitbasiert arbeitet, ist eine korrekte Zeit natürlich immer notwendig.
Es gibt auch Apps wie Authy, welche diese geheimen Schlüssel sichern und synchronisieren, aber die gewonnene Benutzerfeundlichkeit ist mir gegenüber der verminderten Sicherheit nicht wert.

Es soll wohl auch schon solche SMS Angriffe in Deutschland gegeben haben: https://www.golem.de/news/onlinebanking-bankbetrueger-knacken-mtan-verfahren-1310-102363.html
Solche Angriffe gab und gibt es in verschiedenen Formen, von SMS Umleitung, SMS mitlesen, SMS Karten bestellen oder fälschen ist vieles möglich (gewesen). Daher wird das mTAN Verfahren im Online Banking nicht als allzu sicher angesehen.
https://nakedsecurity.sophos.com/2016/08/12/sms-or-authenticator-app-which-is-better-for-two-factor-authentication/
https://www.kontofinder.de/ratgeber/tan-verfahren-ueberblick

Im Endeffekt ist jedes socher Systeme angreifbar, aber wenn jemand Zugriff auf dein Handy oder PC hat, wars das ohnehin.

Bezüglich SMS Verzögerung: Falls mal eine SMS nicht ankommt, kann man normalerweise immer eine weitere anfordern. Möglicherweise wird diese dann auch mit einer höheren Priorität versendet.

[mole0815]

Besten Dank für die Info, schaue ich mir mal an. Habe den Authenticator gerade mal getestet, funktionierte erst nicht, bis ich dann drauf kam, die Serverzeit mal zu synchronisieren Seither funktioniert alles problemlos!

Den sogenannten "geheimen Schlüssel" habe ich mir auf Papier notiert - der müsste doch auch für eine Wiederherstellung im Notfall reichen, oder?

das google app hast du versucht?
wenn du erst mit der einrichtung beginnst verwende am besten direkt https://authy.com/

das klappt auch überall und es gibt die möglichkeit zum backup.
ich habe gestern mühsam 6-7 accounts vom google app zu authy übersiedelt... immer deaktivieren, neu aktivieren, code speichern etc.

die arbeit kannst du dir ersparen wenn du gleich mit authy startest 

[Randalf]

Super, ich danke euch allen für eure Tipps! Ich bin jetzt mit der Authenticator App soweit zufrieden, sie tut, was sie tun soll Bequemer brauche ich es nicht... Und ein Restrisiko ist bleibt halt immer, damit muss man in diesen Zeiten wohl leben ...