Anzeige

2-Faktor-Authentifizierung (2FA)

Die 2-Faktor-Authentifizierung (2FA) existiert heutzutage in zahlreichen Varianten in unserem Alltag: In Form von TAN, Token, elektronischem Personalausweis oder FIDO. Sie alle funktionieren auf ähnliche Weise: Indem das einzugebende Passwort um einen zusätzlichen Faktor ergänzt, oder einstige Login-Verfahren komplett durch eine Kombination zweier Faktoren ersetzt werden, soll zusätzliche Sicherheit geschaffen und Diebstahl oder unbefugtes Kopieren von Zugangsdaten verhindert werden.

„Bestätigt ein System die Richtigkeit des eingegebenen Kennworts, führt dies nicht etwa direkt zum gewünschten Inhalt, sondern zu einer zusätzlichen Sicherheitsschranke – dem zweiten Faktor. So lässt sich verhindern, dass Unbefugte, die im Besitz des Passworts sind, Zugang zu Daten oder Funktionen erhalten. Hacker und andere Cyberkriminelle müssen also gleichzeitig im Besitz des zweiten Faktors sein, um eindringen zu können“, verdeutlicht Patrycja Tulinska, Geschäftsführerin der PSW GROUP, die Vorteile des Prinzips 2-Faktor-Authentifizierung. Die IT-Sicherheitsexpertin mahnt jedoch: „Auf eine 2-Faktor-Authentifizierung zu setzen, ist nicht per se sicher. Nutzer sollten zwar immer auf die 2FA zurückgreifen, sobald ein Dienst sie anbietet, sich dabei aber an einige Grundregeln halten.“

Die Codes zur 2FA sind nämlich immer nur so sicher wie die zur Code-Generierung verwendete Technologie. „Wird der Code beispielsweise per SMS verschickt, lässt sich die Nachricht abfangen, etwa über das veraltete Signalisierungssystem Nr. 7, kurz SS7“, mahnt Tulinska. Auf die 1975 entwickelte Protokoll-Sammlung setzen die großen Telekommunikationsanbieter weltweit heute noch. Jeder, der Zugriff auf SS7 hat, ist theoretisch in der Lage, auf sämtliche Informationen zuzugreifen, die in den unterschiedlichen Mobilfunknetzen übertragen werden, einschließlich SMS. „Um das Risiko eines Diebstahls von SMS-Token durch SS7-Hijacking zu minimieren, sollte idealerweise ein starker zweiten Faktor, wie TOTPs oder U2F, genutzt werden“, so Patrycja Tulinska.

Auch Man-in-the-middle-Attacken sind ein einfacher Weg, 2-Faktor-Authentifizierung zu umgehen: Die vom Nutzer eingegebenen 2FA-Token werden erfasst und an legitime Server weitergeleitet mit dem Ziel, eine authentifizierte Sitzung erstellen zu können. Um an die Login-Informationen des Nutzers zu kommen, setzen Angreifer vielfach auf Fake-Domains. Diese wirken täuschend echt, sodass Nutzer ohne groß zu zögern ihre Login-Daten eingeben. Die 2FA lässt sich auch durch Social Engineering ausnutzen: Ein Angreifer muss sich nur glaubhaft als Mitarbeiter von Großkonzernen wie PayPal oder eines Telekommunikationsdienstleisters ausgeben. „Das Opfer wird zur Preisgabe von Informationen wie etwa Login- oder Kontoinformationen verleitet oder auch dazu, eine präparierte Website zu besuchen. Häufig werden Personen auch durch täuschend echt aussehende E-Mails auf gefälschte Websites geleitet, um dort Anmeldeinformationen einzugeben, die vom Angreifer abgegriffen werden“, warnt Patrycja Tulinska.

Für die Reduktion des Risikos von MitM- oder Social Engineering-Angriffen sind Aufklärung und Best Practices hilfreich: „Das Sicherheitsbewusstsein der Anwender wird dabei geschärft. Zudem können und sollten Unternehmen Phishing-Sites schon am E-Mail- oder Internet-Gateway blockieren. Auch eine Kombination aus beidem ist möglich“, rät die IT-Sicherheitsexpertin.

Einige moderne Browser wie Google Chrome verfügen über eingebaute API, die auch WebUSB genannt werden: Bei der Erstinstallation sowie Bereitstellung von USB-Geräten wird der Browser dank WebUSB miteinbezogen. Dabei kommunizieren WebUSB und die USB-Geräte miteinander. Und genau da lässt sich das 2FA-Verfahren FIDO/ U2F aushebeln. Eigentlich gelten Hardware-Token der FIDO-Allianz, die auf dem U2F-Standard (Universal 2nd Factor) basieren, als solide Lösung: Accounts werden mit einem Schlüssel versehen, der buchstäblich in jeder Tasche Platz findet. U2F-kompatible Geräte gibt es von unterschiedlichen Anbietern in verschiedenen Modellen, das bekanntesten Hardware-Token ist YubiKey von Yubico.

Sicherheitsexperten haben jedoch untersucht, ob WebUSB auch mit U2F-Geräten interagiert. Tatsächlich lassen sich Anfragen direkt an das U2F-Gerät weiterleiten, ohne den FIDO-Client im Browser zu nutzen. Die Man-in-the-Middle-Prüfung durch den FIDO-Client konnte so umgangen werden, was ärgerlich ist, denn der FIDO-Client stellt eigentlich die korrekte Identität sicher. „Wer stets aktuelle Software in allen Bereichen, auch und gerade beim Browser, verwendet, schränkt API-Zugriffe stark ein. Trotz 2FA bilden außerdem starke Passwörter eine erste Hürde für den Zugriff. Zudem rate ich den Zugriff auf sensible Informationen wie Session-Cookies oder kryptografisches Material sehr streng zu kontrollieren und Anmeldeinformationen nicht im Unternehmens-Wiki, sondern in geschützte Bereichen, zu sammeln“, empfiehlt Tulinska einige Schutzmaßnahmen.

Die 2-Faktor-Authentifizierung ist damit zwar kein Allheilmittel, baut jedoch eine weitere Schranke in gängige Login-Prozesse. Diese sind idealerweise bereits mit starken Passwörtern gesichert. Der zweite Faktor bildet dabei eine zusätzliche Barriere. „Bislang ist es noch niemandem gelungen, eine grundsätzliche Schwachstelle in 2FA auszumachen, wenngleich die verschiedenen Varianten alle ihre Vor- und Nachteile haben. Damit ist und bleibt 2FA eine der besten Methoden, das Risiko von Kontoübernahmen und unbefugtem Datenzugriff zu minimieren“, resümiert Patrycja Tulinska.

Weitere Informationen unter: https://www.psw-group.de/blog/2-faktor-authentifizierung/7371
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Authentifizierung

Mehr Sicherheit und Komfort durch passwortfreie Logins

Passwortverfahren zur eindeutigen Identifizierung von Nutzern sind immer wieder Ziel von Hackerangriffen und gelten zunehmend als Schwachstelle in den IT-Systemen von Industrie und Handel. Nevis gibt einen Überblick der Nutzer- Authentifizierung mittels…
MFA

Multi-Faktor-Authentifizierung weniger sicher als angenommen

Proofpoint hat kürzlich mehrere kritische Sicherheitslücken bei der Implementierung von Multi-Faktor-Authentifizierung (MFA) entdeckt. Diese betreffen Cloud-Umgebungen, bei denen zur Authentifizierung das Protokoll WS-Trust verwendet wird.
Mobile Access

Mobile Access liegt im Trend

In der physischen Zutrittskontrolle werden zunehmend mobile Geräte eingesetzt. So lautet ein zentrales Ergebnis einer Untersuchung von HID Global. Für über die Hälfte der Befragten sind Mobile Access und mobile Apps die Top-Trends in der Zutrittskontrolle.
IAM

Auch im Homeoffice sicher: Automatisiertes Identity- und Accessmanagement

Aus der Not heraus waren viele Mitarbeiter gezwungen, in Eile auf Remote Work umzustellen und fließend weiter zu arbeiten. Mittlerweile sind nach etwaigen anfänglichen Schwierigkeiten bei vielen Unternehmen die technischen Voraussetzungen für eine weitere…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!