Virtual Phone Numbers for SMS Verification

Features

Der SMS-Verifizierungsprozess: Übersicht

Auf hoher Ebene folgt die SMS-Verifizierung diesen Schritten:

1. Benutzer initiiert eine Aktion, die eine Verifizierung erfordert
2. Server generiert ein einmaliges Passwort (OTP)
3. Server sendet das OTP über ein SMS-Gateway
4. SMS-Gateway leitet die Nachricht durch Carrier-Netzwerke
5. Nachricht trifft auf das Telefon des Benutzers ein
6. Benutzer gibt das OTP wieder in die Anwendung ein
7. Server validiert das OTP
8. Aktion wird autorisiert oder abgelehnt

Lassen Sie uns jeden Schritt im Detail durchgehen.

Schritt 1: Verifizierung auslösen

SMS-Verifizierung wird durch bestimmte Benutzeraktionen ausgelöst, die eine Identitätsbestätigung erfordern:

• Kontoerstellung: Bestätigung einer Telefonnummer während der Registrierung
• Anmeldung von einem neuen Gerät: Überprüfung der Identität bei Zugriff von einem unbekannten Gerät oder Standort
• Passwortrücksetzung: Bestätigung des Kontoinhabers vor einer Passwortänderung
• Transaktionsautorisierung: Überprüfung von hochwertigen oder ungewöhnlichen Finanztransaktionen
• Profiländerungen: Bestätigung der Identität vor der Änderung von sensiblen Kontoeinstellungen

Die Backend-Logik der Anwendung bestimmt, wann eine Verifizierung erforderlich ist. Dies basiert in der Regel auf Risikobewertungsalgorithmen, die Faktoren wie IP-Adresse, Geräte-Fingerprint, geografische Position und Verhaltensmuster bewerten.

Risikobasiertes Auslösen

Moderne Plattformen verifizieren nicht jede einzelne Aktion. Stattdessen verwenden sie adaptive Risikobewertung:

• Geringes Risiko (erkanntes Gerät, üblicher Standort): Keine Verifizierung erforderlich
• Mittleres Risiko (neues Gerät, gleiches Land): E-Mail-Verifizierung kann ausreichen
• Hohes Risiko (neues Gerät, anderes Land, VPN erkannt): SMS-Verifizierung ausgelöst
• Kritisches Risiko (Finanztransaktion, Passwortänderung): SMS-Verifizierung obligatorisch

Dieser risikobasierte Ansatz balanciert Sicherheit mit Benutzererfahrung und reduziert unnötige Reibung, während er den Schutz aufrechterhält.

Schritt 2: OTP-Generierung

Sobald die Verifizierung ausgelöst wurde, generiert der Server ein einmaliges Passwort. Hier kommt die Kryptographie ins Spiel.

Wie OTPs generiert werden

Es gibt zwei primäre Methoden zur Generierung von OTPs:

HOTP (HMAC-basiertes Einmalpasswort)

HOTP, definiert in RFC 4226, generiert Passwörter basierend auf einem Zählerwert:

1. Ein geheimes Schlüssel wird auf dem Server gespeichert
2. Ein Zählerwert wird aufrechterhalten (inkrementiert mit jeder OTP-Anfrage)
3. Der HMAC-SHA1-Algorithmus kombiniert den geheimen Schlüssel und den Zähler
4. Das Ergebnis wird abgeschnitten, um einen lesbaren Code zu erzeugen (typischerweise 4-8 Ziffern)

Die Formel: HOTP(K, C) = Truncate(HMAC-SHA1(K, C))

Wo K der geheime Schlüssel und C der Zählerwert ist.

TOTP (Zeitbasiertes Einmalpasswort)

TOTP, definiert in RFC 6238, wird häufiger für SMS-Verifizierung verwendet. Es ersetzt den Zähler durch einen zeitbasierten Wert:

1. Der aktuelle Unix-Timestamp wird durch einen Zeit-Schritt geteilt (üblicherweise 30 Sekunden)
2. Dieser zeitabgeleitete Wert ersetzt den Zähler im HOTP-Algorithmus
3. Der resultierende Code ist nur während des aktuellen Zeit-Schritts gültig

Die Formel: TOTP(K) = HOTP(K, floor(T/X))

Wo T die aktuelle Zeit und X der Zeit-Schritt ist (z.B. 30 Sekunden).

Zufallszahlengenerierung

Viele Implementierungen überspringen HOTP/TOTP vollständig und verwenden stattdessen kryptografisch sichere Zufallszahlengeneratoren (CSPRNG), um Codes zu erzeugen:

1. Der Server generiert eine Zufallszahl mithilfe einer sicheren Entropiequelle
2. Die Zahl wird als 4-8-stelliger Code formatiert
3. Der Code wird in der Datenbank des Servers mit einem Ablaufzeitstempel gespeichert
4. Wenn der Benutzer einen Code einreicht, wird er mit dem gespeicherten Wert verglichen

Dieser Ansatz ist einfacher zu implementieren und wird von vielen Webanwendungen verwendet.

OTP-Eigenschaften

Unabhängig von der Generierungsmethode hat ein gut konzipiertes OTP diese Eigenschaften:

• Eindeutig: Jeder Code sollte sich von früheren unterscheiden
• Unvorhersehbar: Die Kenntnis früherer Codes sollte nicht helfen, zukünftige zu erraten
• Zeitlich begrenzt: Codes verfallen nach einer kurzen Zeit (typischerweise 60-300 Sekunden)
• Einmal verwendbar: Jeder Code kann nur einmal verwendet werden
• Ausreichende Entropie: Lang genug, um Brute-Force-Versuche zu verhindern (6 Ziffern = 1.000.000 mögliche Kombinationen)

Schritt 3: SMS-Gateway-Kommunikation

Nachdem das OTP generiert wurde, muss der Server es über SMS liefern. Hier kommen SMS-Gateways ins Spiel.

Was ist ein SMS-Gateway?

Ein SMS-Gateway ist ein Dienst, der das Internet und Mobilfunknetzwerke verbindet. Es akzeptiert Nachrichten von Anwendungen über APIs und liefert sie als SMS-Nachrichten durch die Carrier-Infrastruktur.

Wie der Server mit dem Gateway kommuniziert

Der Anwendungserver sendet eine Anfrage an die API des SMS-Gateways. Eine typische API-Anfrage sieht ungefähr so aus:

POST /api/v1/messages
{
  "to": "+1234567890",
  "from": "VERIFY",
  "body": "Ihr Verifizierungscode ist: 847293. Gültig für 5 Minuten.",
  "callback_url": "https://app.example.com/sms/status"
}

Das Gateway antwortet mit einer Nachrichten-ID und einem Status:

{
  "message_id": "msg_abc123",
  "status": "queued",
  "price": 0.0075
}

Große SMS-Gateway-Anbieter

Mehrere Unternehmen bieten SMS-Gateway-Dienste im großen Maßstab an:

• Twilio: Der beliebteste, der Milliarden von Nachrichten abwickelt
• Vonage (Nexmo): Starke internationale Abdeckung
• Sinch: Fokus auf Messaging und Sprache
• MessageBird: Europäischer Anbieter
• AWS SNS: Amazons SMS-Dienst
• Plivo: Kostengünstige Alternative

Diese Anbieter unterhalten Beziehungen zu Hunderten von Mobilfunk-Carriern weltweit, um die Nachrichtenübermittlung an praktisch jede Telefonnummer auf dem Planeten zu ermöglichen.

Schritt 4: Nachrichtenrouting

Sobald das SMS-Gateway die Nachricht erhält, muss es sie an das richtige Carrier-Netzwerk weiterleiten. Dies ist einer der komplexesten Teile des Prozesses.

Das SS7-Netzwerk

Das Signaling System No. 7 (SS7) ist das Protokollsuite, das die meisten Telefonnetzwerke der Welt steuert. Wenn eine SMS gesendet wird, durchläuft sie das SS7-Netzwerk durch mehrere Komponenten:

SMSC (Short Message Service Center): Das zentrale Hub, das SMS-Nachrichten speichert und weiterleitet. Jeder Carrier betreibt ein oder mehrere SMSCs.

HLR (Home Location Register): Eine Datenbank, die weiß, welchem Netzwerk eine Telefonnummer gehört und wo sich der Teilnehmer derzeit befindet.

MSC (Mobile Switching Center): Routet Anrufe und Nachrichten zum richtigen Basisstation, die den aktuellen Standort des Teilnehmers bedient.

Der Routing-Prozess

1. Das SMS-Gateway übermittelt die Nachricht an seinen Aggregator oder die direkte Carrier-Verbindung
2. Der Aggregator fragt das HLR ab, um den Ziel-Carrier zu bestimmen
3. Die Nachricht wird an das SMSC des Ziel-Carriers weitergeleitet
4. Das SMSC fragt sein eigenes HLR ab, um den aktuellen Standort des Teilnehmers zu finden
5. Das SMSC leitet die Nachricht an das entsprechende MSC weiter
6. Das MSC liefert die Nachricht an die Basisstation, die den Teilnehmer bedient
7. Die Basisstation überträgt die Nachricht an das Telefon via Funkfrequenz

Internationales Routing

Für internationale Nachrichten ist der Prozess komplexer. Nachrichten können mehrere Carrier, Aggregatoren und internationale Gateways durchlaufen, bevor sie ihr Ziel erreichen. Jeder Hop führt zu potenzieller Latenz und Fehlerpunkten.

Dies ist der Grund, warum SMS-Übermittlungszeiten je nach Ziel-Land und -Carrier zwischen unter einer Sekunde und mehreren Minuten variieren können.

Virtual Number Routing

Wenn eine Nachricht an eine virtuelle Telefonnummer (wie von VerifySMS.app bereitgestellt) gesendet wird, folgt das Routing einem leicht unterschiedlichen Pfad:

1. Die Nachricht betritt das Carrier-Netzwerk wie üblich
2. Der virtuelle Nummernprovider fängt die Nachricht auf der Carrier- oder Aggregator-Ebene ab
3. Anstatt an ein physisches Gerät zu liefern, wird die Nachricht an die Server des Providers weitergeleitet
4. Der Anbieter zeigt die Nachricht in seinem Web-Dashboard an oder liefert sie über API

Diese Abfangen ermöglicht virtuelle Telefonnummern - die Nachrichten müssen nie eine physische SIM-Karte erreichen.

Schritt 5: Nachrichtenübermittlung

Sobald die Nachricht geroutet wurde, muss sie an das Endgerät (oder die virtuelle Nummernplattform) geliefert werden.

Physische Telefonübermittlung

Für die traditionelle Übermittlung an ein physisches Telefon:

1. Die Basisstation pagt das Telefon und warnt es vor einer eingehenden Nachricht
2. Das Telefon bestätigt die Seite
3. Die Nachricht wird über einen dedizierten Signalisierungskanal übertragen
4. Das Telefon speichert die Nachricht und benachrichtigt den Benutzer
5. Das Telefon sendet eine Übermittlungsbestätigung an das SMSC zurück

Virtuelle Nummernübermittlung

Für virtuelle Nummern:

1. Die Nachricht trifft auf den Servern des virtuellen Nummernproviders ein
2. Das System des Providers verarbeitet die Nachricht (Extrahieren von Absender, Inhalt, Zeitstempel)
3. Die Nachricht wird in der Datenbank des Providers gespeichert
4. Der Benutzer wird über sein Dashboard, API-Webhook oder Push-Benachrichtigung benachrichtigt
5. Die Nachricht wird für den Benutzer zum Lesen angezeigt

Dienste wie VerifySMS.app optimieren diesen Prozess für Geschwindigkeit und liefern Nachrichten an Benutzer typischerweise innerhalb von 1-5 Sekunden nach Eingang.

Schritt 6: Benutzer gibt den Code ein

Der Benutzer liest den Verifizierungscode von seinem Telefon oder virtuellen Nummern-Dashboard und gibt ihn in die Anwendung ein. Dieser Schritt scheint einfach, aber es gibt interessante technische Überlegungen:

Autofill und Auto-Read

Moderne mobile Betriebssysteme können eingehende Verifizierungscodes automatisch erkennen:

• Android: Die SMS Retriever API ermöglicht es Apps, Verifizierungscodes automatisch zu lesen, ohne volle SMS-Berechtigungen anzufordern
• iOS: AutoFill für Verifizierungscodes erkennt OTPs in Nachrichten und schlägt sie in der Tastatur vor

Diese Funktionen beruhen auf spezifischen Nachrichtenformatierungen. Die Nachricht sollte den Code in einem erkennbaren Muster enthalten, und einige Implementierungen enthalten einen domänengebundenen Hash für zusätzliche Sicherheit.

Web OTP API

Für Webanwendungen ermöglicht die Web OTP API es Browsern, Verifizierungscodes automatisch aus eingehenden SMS-Nachrichten zu extrahieren (mit Benutzergenehmigung). Dies optimiert den Verifizierungsprozess weiter.

Schritt 7: Servervalidierung

Wenn der Benutzer den Code einreicht, validiert der Server ihn:

Validierungsprüfungen

1. Codematch: Passt der eingereichte Code mit dem generierten OTP überein?
2. Verfallsprüfung: Ist der Code abgelaufen? (Typischerweise 60-300 Sekunden)
3. Verwendungsprüfung: Wurde dieser Code bereits verwendet? (Verhindert Replay-Angriffe)
4. Versuchsbeschränkung: Hat der Benutzer die maximale Anzahl von Versuchen überschritten? (Verhindert Brute-Force)
5. Telefonnummerübereinstimmung: Korrespondiert der Code mit der richtigen Telefonnummer?

Ratenbegrenzung

Server implementieren Ratenbegrenzung, um Missbrauch zu verhindern:

• Maximale Anzahl von Verifizierungsanfragen pro Telefonnummer pro Stunde
• Maximale Anzahl von Code-Einreichungsversuchen pro Sitzung
• Abkühlphasen zwischen Anfragen
• Ratenbegrenzung auf IP-Ebene, um verteilte Angriffe zu verhindern

Was passiert bei einem Fehler

Wenn die Validierung fehlschlägt:

• Der Benutzer wird aufgefordert, es erneut zu versuchen (mit angezeigten verbleibenden Versuchen)
• Nach zu vielen Fehlern wird die Sitzung vorübergehend gesperrt
• Die Telefonnummer kann vorübergehend gesperrt werden, um neue Codes zu empfangen
• In extremen Fällen kann das Konto zur Überprüfung markiert werden

Schritt 8: Autorisierung

Bei erfolgreicher Validierung:

1. Der Server markiert die Telefonnummer als verifiziert
2. Die Benutzersitzung wird mit einem verifizierten Status aktualisiert
3. Die ursprüngliche Aktion (Kontoerstellung, Anmeldung, Transaktion) wird autorisiert
4. Eine Bestätigung wird an den Benutzer gesendet
5. Sicherheitsprotokolle werden für die Sicherheitsüberwachung aktualisiert

Sicherheitsstärken und -schwächen der SMS-Verifizierung

Stärken

Allgegenwart: SMS funktioniert auf jedem Telefon, von einfachen Mobiltelefonen bis hin zu den neuesten Smartphones. Keine App-Installation erforderlich.

Einfachheit: Benutzer verstehen SMS. Der Prozess ist intuitiv und erfordert minimale technische Kenntnisse.

Besitzfaktor: Die SMS-Verifizierung bestätigt, dass der Benutzer (oder hat Zugang zu) einer bestimmten Telefonnummer besitzt, was einen zweiten Faktor neben Passwörtern hinzufügt.

Globale Reichweite: SMS kann praktisch jede Telefonnummer auf der ganzen Welt erreichen.

Schwächen

SS7-Schwachstellen: Das SS7-Protokoll, das in den 1970er Jahren entwickelt wurde, hat bekannte Sicherheitslücken, die es Angreifern ermöglichen, SMS-Nachrichten abzufangen. Raffinierte Angreifer können diese ausnutzen, um Verifizierungscodes zu erfassen.

SIM-Tausch: Angreifer können einen Mobilfunkanbieter überzeugen, die Telefonnummer eines Opfers auf eine neue SIM-Karte umzustellen. Dies ermöglicht es ihnen, die SMS-Nachrichten des Opfers, einschließlich Verifizierungscodes, zu empfangen.

Schadsoftware: Mobile Schadsoftware kann SMS-Nachrichten auf infizierten Geräten abfangen und Verifizierungscodes erfassen, bevor der Benutzer sie sieht.

Soziale Manipulation: Angreifer können Phishing oder soziale Manipulation verwenden, um Benutzer dazu zu bringen, ihre Verifizierungscodes preiszugeben.

Übermittlungszuverlässigkeit: Die SMS-Übermittlung ist nicht garantiert. Nachrichten können verzögert, verloren oder von Carriern blockiert werden, was zu einer schlechten Benutzererfahrung führt.

Keine Verschlüsselung: Standard-SMS-Nachrichten sind nicht Ende-zu-Ende verschlüsselt. Sie können potenziell an verschiedenen Punkten in der Übermittlungskette abgefangen werden.

Moderne Alternativen zur SMS-Verifizierung

Angesichts der Sicherheitslücken von SMS-Verifizierung sind mehrere Alternativen entstanden:

TOTP-Authentifizierungs-Apps

Apps wie Google Authenticator und Authy generieren zeitbasierte Codes lokal auf dem Gerät. Diese Codes werden nie über das Netzwerk übertragen, was sie immun gegen Abfangen macht.

Push-Benachrichtigungen

Dienste senden eine Push-Benachrichtigung an ein verifiziertes Gerät, und der Benutzer genehmigt oder lehnt die Anfrage mit einem Tippen ab. Benutzerfreundlicher als das Eingeben von Codes.

FIDO2/WebAuthn

Hardware-Sicherheitskeys und biometrische Authentifizierung bieten die stärkste Verifizierung. Diese sind phishing-resistent und basieren nicht auf Telefonnummern.

E-Mail-basierte Verifizierung

Während auch unvollkommen, vermeidet die E-Mail-Verifizierung die spezifischen Schwachstellen von SMS (SS7, SIM-Tausch) auf Kosten von unterschiedlichen Kompromissen.

Warum SMS-Verifizierung fortbesteht

Trotz seiner Schwachstellen bleibt die SMS-Verifizierung dominant, weil sie universell erreichbar ist. Nicht jeder hat ein Smartphone. Nicht jeder hat einen Sicherheitsschlüssel. Aber fast jeder hat ein Telefon, das SMS empfangen kann. Aus diesem Grund wird die SMS-Verifizierung für Jahre die am weitesten verbreitete Zwei-Faktor-Authentifizierung bleiben.

Wie virtuelle Nummern ins Bild passen

Virtuelle Telefonnummern von Diensten wie VerifySMS.app interagieren mit dem SMS-Verifizierungssystem auf der Carrier-Routing-Ebene. Sie funktionieren als legitime Telefonnummern, die SMS-Nachrichten empfangen können - der Unterschied besteht darin, dass die Nachrichten an ein Web-Dashboard statt an ein physisches Gerät geliefert werden.

Aus Sicht der sendenden Anwendung und des SMS-Gateways ist eine virtuelle Nummer von einer traditionellen Carrier-Nummer nicht zu unterscheiden (vorausgesetzt, der Anbieter verwendet hochwertige, Carrier-klassige Nummern). Der Verifizierungscode wird generiert, gesendet, geroutet und geliefert durch dieselbe Infrastruktur.

Dies ist der Grund, warum virtuelle Nummern für die SMS-Verifizierung funktionieren - sie sind echte Telefonnummern, die am selben Telekommunikations-Ökosystem teilnehmen. Der einzige Unterschied besteht im Endpunkt: ein Server statt einer SIM-Karte.

Häufig gestellte Fragen

Wie lange dauert die SMS-Verifizierung?

Der gesamte Prozess dauert typischerweise 5-30 Sekunden vom Code-Anfrage bis zur Übermittlung. Verzögerungen können jedoch aufgrund von Carrier-Überlastung, internationalem Routing oder Gateway-Verarbeitung auftreten.

Warum dauern einige SMS-Codes länger, um anzukommen?

Verzögerungen werden in der Regel durch Carrier-Überlastung, internationales Routing durch mehrere Carrier, Ratenbegrenzung durch den sendenden Dienst oder vorübergehende Netzwerkprobleme verursacht.

Können SMS-Verifizierungscodes abgefangen werden?

Ja, durch SS7-Exploits, SIM-Tausch oder Geräte-Schadsoftware. Deshalb empfehlen Sicherheitsexperten app-basierte 2FA für sensible Konten.

Warum sind SMS-Codes normalerweise 6-stellig?

Sechs Ziffern bieten 1.000.000 mögliche Kombinationen, was ausreichend ist, um Brute-Force-Angriffe innerhalb des kurzen Gültigkeitsfensters des Codes zu verhindern. In Kombination mit Ratenbegrenzung bietet dies ausreichende Sicherheit.

Empfangen virtuelle Nummern SMS auf dieselbe Weise wie echte Telefone?

Virtuelle Nummern empfangen SMS über dieselbe Carrier-Infrastruktur. Der Unterschied besteht darin, dass die Nachricht an einen Server statt an ein physisches Gerät geliefert wird. Aus Sicht des Absenders gibt es keinen Unterschied.

Fazit

Die SMS-Verifizierung ist ein faszinierender Schnittpunkt von Kryptographie, Telekommunikation und Benutzerschnittstellendesign. Während sie bekannte Sicherheitslücken aufweist, bleibt sie die universell zugänglichste Form der Zwei-Faktor-Authentifizierung.

Das Verständnis dafür, wie die SMS-Verifizierung technisch funktioniert, hilft Ihnen, fundierte Entscheidungen über Ihre eigene Sicherheit zu treffen. Für Situationen, in denen Sie eine SMS-Verifizierung benötigen, ohne Ihre persönliche Telefonnummer preiszugeben, bieten virtuelle Nummern-Dienste wie VerifySMS.app eine zuverlässige, datenschutzfreundliche Alternative, die innerhalb desselben technischen Rahmens funktioniert.

Ob Sie ein Entwickler sind, der eine SMS-Verifizierung implementiert, ein Sicherheitsexperte, der Authentifizierungsoptionen bewertet, oder einfach ein Benutzer, der die Technologie hinter diesen sechsstelligen Codes verstehen möchte, dieses Wissen ermöglicht es Ihnen, die digitale Welt sicherer und effektiver zu navigieren.

Latest Articles

Tips, guides, and insights about virtual numbers and online privacy.

View All Articles →

FAQ

Frequently Asked Questions