Abo
  • IT-Karriere:

Mobile Connect: Mobilfunkbetreiber starten passwortlosen Login-Dienst

Ausgerechnet per SMS wollen die Mobilfunkbetreiber Telekom, Vodafone und Telefónica das Passwort beim Login ersetzen. Mit Verimi nutzt ein erster Single-Sign-on-Dienst das neue Verfahren.

Artikel veröffentlicht am , /
Mobile Connect lässt sich bei Verimi bereits aktivieren.
Mobile Connect lässt sich bei Verimi bereits aktivieren. (Bild: Verimi/Screenshot: Golem.de)

Die deutschen Mobilfunknetzbetreiber starten gemeinsam ein Login-Verfahren über die Handynummer. Das gaben die Deutsche Telekom, Vodafone und Telefónica am 12. August 2019 bekannt. Mobile Connect verzichtet beim Login auf Passwörter.

Stellenmarkt
  1. Hochschule Furtwangen, Furtwangen
  2. OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung, Regensburg

Nach Eingabe der Mobilfunknummer im Internet wird eine SMS an das Handy des Kunden geschickt. Mit dem Link in der Textnachricht muss der Nutzer über sein Smartphone den Erhalt bestätigen. Damit überträgt der Netzbetreiber eine "pseudonymisierte Kundenreferenznummer" an den Portalbetreiber. So könne der Betreiber den Kunden zuordnen und gewährt ohne Passwort Zugang zum Onlineshop. Mobile Connect lässt sich als zweiter Faktor zusätzlich zum Passwort nutzen.

Mit der im Jahr 2017 gegründeten Plattform Verimi haben die Mobilfunkanbieter einen Partner für Mobile Connect in Deutschland. Verimi integriert Mobile Connect in ihr Angebot, um Kunden die zusätzliche Anmeldung per Mobilfunkrufnummer zu bieten.

"Sichere Alternative" zu Facebook und Google

Die Mobilfunkbetreiber bezeichnen das Verfahren als "sichere Alternative zu den passwortbasierten Login-Verfahren auf Facebook, Google, Amazon und Co". Der übliche Zugang per Nutzername und Passwort sei "umständlich und birgt Risiken".

Bei Verimi lässt sich der Dienst bereits aktivieren. Dabei wird zunächst die Handynummer "zur Zuordnung an einen Dienstleister der beteiligten Mobilfunkanbieter übermittelt", worauf ohne Speicherung personenbezogener Daten die "Netzzugehörigkeit gegenüber Verimi mitgeteilt" werde, heißt es. Im zweiten Schritt würden diese Daten an den Mobilfunkanbieter weitergeleitet, bei dem Mobile Connect aktiviert werden könne.

SMS gelten als unsicher

Problematisch an dem Verfahren ist jedoch, dass das SMS-Verfahren alles andere als sicher ist. Häufig werden Smartphones oder Handys nur unzureichend gesperrt beziehungsweise SMS auch auf dem Sperrbildschirm angezeigt. Kann ein Angreifer - wenn auch nur für kurze Zeit - Zugriff auf das Mobiltelefon einer Person erlangen, kann er in diesem Moment den Passwort-zurücksetzen-Prozess starten und die SMS mit dem Zurücksetz-Code oder -Link abfangen.

Das Abfangen der SMS ist jedoch auch aus der Ferne möglich: Ein Angreifer muss sich hierzu Zugang zum SS7-Netzwerk (Signalling System #7) verschaffen. Über die SS7-Protokolle vermitteln Provider Anrufe, SMS und Daten von einem Netz in das nächste. Ohne SS7 wäre zum Beispiel Roaming nicht möglich. Ursprünglich hatten nur staatlich kontrollierte Telefonanbieter Zugang zu diesem Netzwerk, mittlerweile können sich Firmen in dieses einkaufen - und ihre Zugänge weitervermieten. Auch Kriminelle können sich Zugang zum Netzwerk verschaffen.

Online-Banking mit Verimi möglich

Bereits 2014 wurde auf dem Hackerkongress 31C3 in mehreren Vorträgen gezeigt, was mit einem SS7-Zugang alles möglich ist: Handynutzer orten, SMS mitlesen, Gespräche abhören, Rufnummern umleiten, Telefone blockieren. 2017 wurde das SS7-Netzwerk von Kriminellen dazu genutzt, Bankkonten zu leeren. Sie leiteten die Bestätigungs-SMS mitsamt der mTAN auf ihre eigenen Mobilfunktelefonnummern um. Dieser Trick kann auch zum Zurücksetzen von E-Mail- oder Social-Media-Konten verwendet werden. Hat ein Angreifer Zugriff auf das SS7-Netzwerk, kann er die Zurücksetz-SMS auf seine Mobilfunknummer umleiten und die Konten übernehmen.

In Deutschland konkurrieren derzeit Verimi, NetID und ID4me als sogenannte Single-Sign-on-Lösungen. Im Gegensatz zu NetID lässt sich Verimi für Anwendungen nutzen, die einen hohen Sicherheitsstandard erfordern. So können sich Kunden der Deutschen Bank über den Dienst sogar in das Online-Banking einloggen. Zudem ist es möglich, die beim Online-Banking der Deutschen Bank hinterlegten und verifizierten Ausweisdokumente auf Verimi zu übertragen und anschließend für die Authentifizierung bei anderen Finanzdiensten wie der Allianz zu nutzen. Daher könnte es für Kriminelle besonders attraktiv sein, einen Verimi-Account mit Hilfe von Mobile Connect zu hacken.



Anzeige
Top-Angebote
  1. (u. a. Hell Let Loose für 15,99€, Hitman 2 für 15,49€ und PSN Card 25 Euro [DE] für 21,99€)
  2. (u. a. SanDisk SSD Plus 1 TB für 88€ + Versand oder kostenlose Marktabholung)
  3. (u. a. MacBook 12 m3-7Y32/8 GB/256 GB/Silber für 999€ + Versand oder kostenlose Marktabholung...
  4. (u. a. MacBook 12 m3-7Y32/8 GB/256 GB/Silber für 999€ + Versand oder kostenlose Marktabholung...

Gole-mAndI 13. Aug 2019 / Themenstart

Hätten sie dann nicht wenigstens PushTan nutzen können? Finde ich zwar auch alles andere...

My1 13. Aug 2019 / Themenstart

lol und true. chiptan4ever

wollid 13. Aug 2019 / Themenstart

Vor allem der Aufwand der betrieben wird, uns den Zugang zu eigenen Daten und Geräten...

dododo 13. Aug 2019 / Themenstart

Wieder was gelernt, nutze WA nicht, war daher nicht auf dem aktuellen Stand. Kenne jedoch...

My1 13. Aug 2019 / Themenstart

die pseudonymfunktion gibts ja auch, und die wäre doch perfekt

Kommentieren


Folgen Sie uns
       


Teamfight Tactics - Trailer (Gameplay)

Die Helden kämpfen automatisch, trotzdem sind Dota Unerlords und League of Legends: TeamfightTactics richtig spannende Games - die Golem.de im Video ausprobiert hat.

Teamfight Tactics - Trailer (Gameplay) Video aufrufen
Elektromobilität: Die Rohstoffe reichen, aber ...
Elektromobilität
Die Rohstoffe reichen, aber ...

Brennstoffzellenautos und Elektroautos sollen künftig die Autos mit Verbrennungsantrieb ersetzen und so den Straßenverkehr umweltfreundlicher machen. Dafür sind andere Rohstoffe nötig. Kritiker mahnen, dass es nicht genug davon gebe. Die Verfügbarkeit ist aber nur ein Aspekt.
Eine Analyse von Werner Pluta

  1. Himo C16 Xiaomi bringt E-Mofa mit zwei Sitzplätzen für rund 330 Euro
  2. ADAC-Test Hohe Zusatzkosten bei teuren Wallboxen möglich
  3. Elektroroller E-Scooter sollen in Berlin nicht mehr auf Gehwegen parken

Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

Schienenverkehr: Die Bahn hat wieder eine Vision
Schienenverkehr
Die Bahn hat wieder eine Vision

Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
Eine Analyse von Caspar Schwietering

  1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
  2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
  3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

    •  /