Wie schon in meinem Artikel über 2FA kurz erwähnt, ist SMS als 2FA unsicher. Aber ich möchte etwas genauer darauf eingehen, um Verwirrungen zu vermeiden.
Unter gewissen Umständen ist SMS als 2FA besser als gar kein 2FA, aber unter anderen Umständen ist es weniger sicher als gar kein 2FA.
Wann es sicher(er) ist
Auf einigen Webseiten ist es möglich, SMS als 2FA zu verwenden. Wenn diese Webseite die SMS Funktion auch wirklich nur für 2FA verwendet, dann ist es sicherer als gar kein 2FA. Es ist nicht so sicher wie TOTP («Google Authenticator») oder Hardwareschlüssel («YubiKey»), aber immer noch besser als gar kein 2FA.
Wann es unsicher ist (Eintrittstor)
Manche Webseiten jedoch haben einen fatalen Designfehler. Und zwar ist es so, dass auf gewissen Webseiten, das Hinzufügen von einer Telefonnummer für 2FA, auch gleich die Option zum Wiederherstellen des Passworts per SMS aktiviert wird. Dies kann nicht immer deaktiviert werden und ist fest eingebunden, solange eine Telefonnummer hinterlegt ist.
Das ist natürlich schlecht, denn das hebelt denn Sinn von 2FA aus.
Wenn Sie per SMS das Passwort zurücksetzen können, und dann auch die 2FA Codes per SMS erhalten, haben Sie effektiv nur noch 1FA (also, ein Faktor, statt zwei).
Logischerweise, ist ein Passwort alleine auch nur 1FA. Aber meiner Meinung nach, ist ein langes, zufälliges Passwort im Passwortmanager immer noch das bessere 1FA, als SMS als 1FA.
Deshalb: Wenn mit SMS 2FA auch das Wiederherstellen des Passworts per SMS fest verankert ist, nutze ich lieber gar kein 2FA statt SMS.
Es ist einfacher, an meine SMS zu gelangen, als an meinen Passwortmanager.
Anmerkung der Autorin
Natürlich ist SMS 2FA nie ganz sicher, egal, wie gut die Webseite es implementiert hat. In meinem vorherigen Artikel, wo ich 2FA erkläre, erwähne ich z.B. kurz Methoden, mit denen SMS abgefangen werden können. Aber solange die Webseite es richtig implementiert hat, ist es besser als gar kein 2FA. Die Sicherheit von SMS 2FA ist also mit vielen «Wenns und Abers» verbunden, und somit kann es effektiv nie ganz als «Sicher» bezeichnet werden.
Update
Ich habe nun einen Artikel verfasst, der erklärt, warum SMS als 2FA unsicher ist und wie ein Angreifer an die SMS kommen könnte.