Wenn man eine über SMS abgewickelte Zwei-Faktor-Authorisierung (2FA) einrichtet, so muss man in der Regel einen Probelauf bestehen, bevor die Telefonnummer für das 2FA akzeptiert wird. Im Probelauf wird ein SMS-Code an die neu hinterlegte Telefonnummer gesendet, welche vom Benutzer auf der Webseite eingegeben werden muss.
Nein, hier hat ein Krimineller das Passwort für ein Login ergaunert. Scheitert aber (noch) bei der Anmeldung am fehlenden SMS-Code (2FA).
Leider gibt es im Internet Dienstanbieter, welche ohne Anfrage beim Kunden eigenmächtig eine 2FA per SMS einschalten. Zum Beispiel: Paypal.
Da SMS ein unsicherer, unverschlüsselter Kommunikationskanal ist, empfehle ich den Einsatz einer (2FA-OTP-)App oder eines HSM für die 2FA. Siehe dazu:
https://community.swisscom.ch/t5/Archiv-Telefonie/Mobile-ID-funktioniert-als-zweite-SIM-Karte-im-iPhone-nicht/m-p/622942#M59151
https://community.sunrise.ch/d/33657-mobileid-und-esim/4
https://learn.microsoft.com/de-de/entra/identity/authentication/concept-authentication-methods
Der neuste Schrei aus diesem Bereich ist ja “Passkey im HSM”:
https://www.heise.de/hintergrund/Bestandsaufnahme-Passwort-Nachfolger-Passkeys-9048722.html
