Wie SMS-Verifizierung funktioniert — Technische Erklärung
Schritt 1: OTP-Generierung
Wenn eine Plattform Ihre Telefonnummer verifizieren muss, generiert sie ein Einmalpasswort (OTP). Hier ist, was auf der Serverseite passiert:
- Benutzer sendet Telefonnummer — Das Backend der Plattform empfängt die Nummer und validiert ihr Format (Ländercode, Anzahl der Ziffern, gültige Vorwahl).
- OTP wird generiert — Ein kryptografisch zufälliger Code wird erstellt, normalerweise 4-6 Ziffern. Die meisten Implementierungen verwenden
HMAC-SHA1oderHMAC-SHA256mit einem zeitbasierten oder zählerbasierten Seed (TOTP/HOTP-Standards aus RFC 6238/RFC 4226). - OTP wird gespeichert — Der Code wird serverseitig mit einem Ablaufzeitstempel (normalerweise 60-300 Sekunden) gespeichert und mit der Telefonnummer verknüpft.
- Ratenbegrenzung wird angewendet — Die Plattform prüft, wie viele OTPs kürzlich für diese Nummer angefordert wurden. Die meisten Dienste erlauben 3-5 Versuche pro Nummer pro Stunde.
- SMS-API-Aufruf wird ausgelöst — Die Plattform sendet eine Anfrage an ihren SMS-Anbieter mit der Telefonnummer und dem Nachrichtentext.
Das OTP selbst ist normalerweise nur eine Zufallszahl. Plattformen betten das OTP nicht in gehashter Form in die Nachricht ein — es wird als Klartext im SMS-Body gesendet. Dies ist eine der grundlegenden Sicherheitslücken der SMS-Verifizierung.
Schritt 2: Das A2P-SMS-Ökosystem
A2P steht für Application-to-Person — Nachrichten, die von einer Softwareanwendung an das Telefon eines Menschen gesendet werden. Dies unterscheidet sich von P2P (Person-to-Person) Nachrichten. Das A2P-Ökosystem hat seine eigene Infrastruktur:
SMS-Aggregatoren
Die meisten Plattformen senden SMS nicht direkt über Mobilfunkanbieter. Stattdessen nutzen sie SMS-Aggregatoren — Unternehmen, die Verbindungen zu Hunderten von Mobilfunkanbietern weltweit unterhalten. Zu den wichtigsten Aggregatoren gehören:
- Twilio — Der größte Anbieter von SMS-APIs. Wird von Uber, Airbnb, Stripe und Tausenden anderen genutzt.
- Vonage (Nexmo) — Beliebt für internationales SMS-Routing.
- Sinch — Stark in der Zustellung von Unternehmens-OTPs.
- MessageBird — Auf Europa fokussierter Aggregator.
- Infobip — Wichtiger Akteur in Schwellenländern.
Wenn Instagram Ihnen ein OTP sendet, durchläuft die Nachricht wahrscheinlich Twilio oder einen ähnlichen Aggregator, bevor sie Ihren Mobilfunkanbieter erreicht. Der Aggregator kümmert sich um Routing, Verhandlung mit Mobilfunkanbietern und Zustellbestätigung.
SMS-Routing
Der Aggregator bestimmt die optimale Route für die Zustellung der SMS. Für eine US-Nummer könnte dies bedeuten:
- Plattform-API-Aufruf → Aggregator (z. B. Twilio)
- Aggregator → Mobilfunkanbieter-Gateway (z. B. AT&T, T-Mobile)
- Mobilfunkanbieter-Gateway → SMSC (Short Message Service Center)
- SMSC → MSC (Mobile Switching Center)
- MSC → Basisstation → Telefon des Benutzers
Internationale Nachrichten erhöhen die Komplexität. Ein OTP von einer US-basierten Plattform an eine indische Nummer könnte über 2-3 zwischengeschaltete Mobilfunkanbieter geleitet werden, bevor sie ihr Ziel erreicht. Jeder Schritt erhöht die Latenz und die geringe Wahrscheinlichkeit eines Fehlers.
Möchten Sie das in Aktion sehen?
VerifySMS kostenlos testen →Virtuelle Nummern erhalten und OTPs in Echtzeit empfangen
Schritt 3: SS7 und die Signalisierungsschicht
SS7 (Signaling System No. 7) ist die Protokollsuite, die steuert, wie Telefonnetze kommunizieren. Entwickelt in den 1970er Jahren, ist es immer noch das Rückgrat der globalen Telefonie. Wenn eine SMS gesendet wird, kümmert sich SS7 um:
- Nummernsuche (HLR-Abfrage) — Der sendende Mobilfunkanbieter fragt das Home Location Register ab, um festzustellen, zu welchem Mobilfunkanbieter und Netzwerk die Zielnummer gehört.
- Nachrichten-Routing — SS7-Signale bestimmen den Weg, den die Nachricht durch das Netzwerk nimmt.
- Zustellbestätigung — Das empfangende SMSC sendet eine Zustellbestätigung über SS7-Signalisierung zurück.
SS7-Sicherheitsprobleme
SS7 wurde in einer Zeit entwickelt, als nur vertrauenswürdige Telekommunikationsbetreiber Netzwerkzugang hatten. Heute ist der SS7-Zugang für Tausende von Entitäten verfügbar, was zu Sicherheitslücken führt:
- SMS-Abfangen — Ein Angreifer mit SS7-Zugang kann SMS-Nachrichten auf sein eigenes Gerät umleiten. Dies wurde in realen Angriffen auf die 2FA von Banken demonstriert.
- Standortverfolgung — SS7-Abfragen können den physischen Standort eines Telefons aufdecken.
- Nummern-Spoofing — SS7 ermöglicht das Senden von Nachrichten, die von einer anderen Nummer zu stammen scheinen.
Diese Schwachstellen sind der Grund, warum Sicherheitsexperten empfehlen, von SMS-basierter 2FA zu App-basierten Authentifikatoren (TOTP) oder Hardware-Schlüsseln (FIDO2) abzurücken. Für die anfängliche Kontoüberprüfung (Nachweis des Zugangs zu einer Nummer) bleibt SMS jedoch der Industriestandard, da sie die größte Reichweite hat.
Schritt 4: Wie virtuelle Nummern SMS empfangen
Virtuelle Telefonnummern funktionieren, indem sie die physische SIM-Karte und die Funkkomponenten durch Software ersetzen. So empfängt eine virtuelle Nummer ein OTP:
- Nummernzuweisung — Der Anbieter virtueller Nummern least Nummernblöcke von Mobilfunkanbietern. Dies sind echte Telefonnummern mit gültigen Mobilfunkanbieter-Registrierungen.
- SIM-Bank oder Soft-SIM — Der Anbieter betreibt physische SIM-Karten in Hardware (SIM-Banken mit Hunderten oder Tausenden von SIMs) oder nutzt Softwareintegrationen auf Carrier-Ebene, um Nachrichten zu empfangen.
- SMS erreicht Mobilfunkanbieter — Die OTP-Nachricht wird an den Mobilfunkanbieter geliefert, der mit der virtuellen Nummer verbunden ist, genau wie jede andere SMS.
- Nachricht wird weitergeleitet — Die SIM-Bank oder die Carrier-Integration erfasst die eingehende SMS und leitet sie per API an das Backend des Anbieters weiter.
- Benutzer sieht den Code — Das Dashboard oder die API des Anbieters zeigt dem Benutzer die empfangene SMS an.
Die entscheidende Erkenntnis: Aus Sicht der sendenden Plattform sieht eine virtuelle Nummer genauso aus wie ein physisches Telefon. Die SMS folgt demselben Routing-Pfad. Der Unterschied liegt in der letzten Meile — anstatt auf einem Telefonbildschirm angezeigt zu werden, wird die Nachricht von Software erfasst.
Schritt 5: Plattformseitige Verifizierung
Nachdem der Benutzer das OTP erhalten und auf der Plattform eingegeben hat, erfolgt die serverseitige Verifizierung:
- Code-Vergleich — Die Plattform vergleicht den eingegebenen Code mit dem gespeicherten OTP.
- Ablaufprüfung — Wenn das OTP abgelaufen ist (normalerweise 60-300 Sekunden), schlägt die Verifizierung fehl.
- Versuchszählung — Die meisten Plattformen erlauben 3-5 falsche Versuche, bevor die Verifizierung gesperrt wird.
- Nummernklassifizierung — Einige Plattformen prüfen die Nummer gegen VoIP/virtuelle Nummern-Datenbanken, um Missbrauch zu kennzeichnen.
- Erfolg oder Misserfolg — Wenn der Code übereinstimmt und nicht abgelaufen ist, wird die Telefonnummer als verifiziert markiert.
Wie Plattformen virtuelle Nummern erkennen
Einige Plattformen versuchen, virtuelle Nummern zu blockieren. Die von ihnen verwendeten Methoden:
| Erkennungsmethode | Wie es funktioniert | Effektivität |
|---|---|---|
| Nummertyp-Lookup | Fragt Mobilfunkanbieter-Datenbanken ab, um zu prüfen, ob die Nummer Mobilfunk, Festnetz oder VoIP ist | Mittel — viele virtuelle Nummern sind als Mobilfunknummern registriert |
| Mobilfunkanbieter-Datenbankprüfung | Vergleicht die Nummer mit bekannten VoIP-Anbieterbereichen | Mittel — funktioniert für große Anbieter, übersieht kleinere |
| HLR-Lookup | Fragt das Home Location Register nach SIM-Kartendetails ab | Hoch für die Erkennung von reinen Software-Nummern, niedriger für SIM-Bank-Nummern |
| Verhaltensanalyse | Verfolgt, wie viele Konten mit Nummern aus demselben Bereich erstellt wurden | Hoch im Laufe der Zeit, erfordert aber Datenakkumulation |
Anbieter virtueller Nummern kontern diese Erkennungen, indem sie Carrier-Grade-Nummern verwenden, die als Mobilfunkleitungen registriert sind, diverse Nummern-Pools unterhalten und Nummern häufig rotieren. Der Zyklus der Erkennungs-Umgehung ist fortlaufend.
Warum SMS-Verifizierung trotz ihrer Schwächen bestehen bleibt
SMS-Verifizierung hat bekannte Sicherheitslücken, bleibt aber die dominierende Methode. Die Gründe sind praktisch:
- Universelle Reichweite — Jedes Telefon kann SMS empfangen. Keine App-Installation erforderlich. Dies deckt die Milliarden von Nutzern auf Feature-Phones und älteren Geräten ab.
- Benutzervertrautheit — Jeder versteht "Geben Sie den Code ein, den wir gesendet haben." Keine Erklärung erforderlich.
- Geringe Implementierungskosten — SMS-APIs sind günstig. Twilio berechnet etwa 0,0075 $ pro SMS in den USA. Skaliert sind das Cent pro Verifizierung.
- Akzeptabler Sicherheitskompromiss — Für die meisten Anwendungsfälle (Social-Media-Anmeldungen, Essenslieferkonten) bietet SMS genug Reibung, um automatisierte Missbräuche abzuschrecken, ohne Hardware-Sicherheitsschlüssel zu benötigen.
Die Branche bewegt sich langsam in Richtung Alternativen. Passkeys (FIDO2), App-basierte TOTPs und Push-Benachrichtigungen gewinnen an Bedeutung. Aber für die anfängliche Telefonverifizierung — den Nachweis, dass ein Benutzer eine Telefonnummer kontrolliert — bleibt SMS der Standard.
Die Rolle virtueller Nummern in diesem Ökosystem
Virtuelle Nummern besetzen eine spezielle Nische: Sie bieten Zugriff auf Telefonnummernebene, ohne ein physisches Gerät zu benötigen. Dies ist nützlich für legitime Szenarien, darunter:
- Datenschutzschutz — Ihre echte Nummer von Plattformen fernhalten, die Ihre Daten möglicherweise verkaufen. Sehen Sie sich unseren VerifySMS vs kostenlose SMS-Seiten (receive-smss.com) — Warum bezahlt besser ist an, warum Datenschutz hier wichtig ist.
- Multi-Account-Management — Unternehmen, die mehrere Konten auf derselben Plattform betreiben, benötigen für jedes eine eindeutige Nummer.
- Internationaler Zugang — Konten auf Plattformen in Virtuelle Telefonnummern in den USA — Non-VoIP Nummern verifizieren, ohne lokale SIM-Karten zu haben.
- Entwicklung und Tests — QA-Teams, die OTP-Flows testen, benötigen viele Nummern, ohne physische Geräte verwalten zu müssen.
Aus technischer Sicht funktionieren virtuelle Nummern, weil sie die Tatsache ausnutzen, dass SMS-Verifizierung nur die Kontrolle über eine Nummer beweist — nicht, dass die Nummer auf einem physischen Telefon in der Tasche einer Person ist. Solange die Nummer gültig ist und A2P-Nachrichten empfangen kann, gelingt die Verifizierung.
Fortgeschritten: Optimierung der OTP-Zustellung
Wenn Sie ein Entwickler sind, der SMS-Verifizierung implementiert, sind hier technische Überlegungen für eine zuverlässige Zustellung:
- Verwenden Sie Absender-IDs mit Bedacht — In Ländern, die alphanumerische Absender-IDs unterstützen, verwenden Sie Ihren Markennamen. In den USA verwenden Sie einen dedizierten Kurzcode oder 10DLC (10-Digit Long Code) für die besten Zustellraten.
- Implementieren Sie Fallback-Routing — Verwenden Sie mehrere SMS-Aggregatoren, damit die Nachricht über eine andere Route erneut versucht wird, wenn eine Route fehlschlägt.
- Halten Sie Nachrichten kurz — OTP-Nachrichten sollten unter 160 Zeichen liegen (ein SMS-Segment). Nachrichten mit mehreren Segmenten haben höhere Fehlerraten.
- Legen Sie geeignete Timeouts fest — 120 Sekunden sind ideal. Zu kurz verursacht Fehlalarme; zu lang ermöglicht die Verwendung abgefangener Codes.
- Protokollieren Sie Zustellbestätigungen — Verfolgen Sie, ob Nachrichten zugestellt, ausstehend oder fehlgeschlagen sind. Diese Daten helfen bei der Identifizierung von Mobilfunkanbieter-spezifischen Problemen.
SMS-Verifizierung aus der Empfängerperspektive sehen
VerifySMS kostenlos testen →150+ Länder · Sofortige Aktivierung · 0,10 $/Nummer
