Anzeige

2-Faktor-Authentifizierung (2FA)

Die 2-Faktor-Authentifizierung (2FA) existiert heutzutage in zahlreichen Varianten in unserem Alltag: In Form von TAN, Token, elektronischem Personalausweis oder FIDO. Sie alle funktionieren auf ähnliche Weise: Indem das einzugebende Passwort um einen zusätzlichen Faktor ergänzt, oder einstige Login-Verfahren komplett durch eine Kombination zweier Faktoren ersetzt werden, soll zusätzliche Sicherheit geschaffen und Diebstahl oder unbefugtes Kopieren von Zugangsdaten verhindert werden.

„Bestätigt ein System die Richtigkeit des eingegebenen Kennworts, führt dies nicht etwa direkt zum gewünschten Inhalt, sondern zu einer zusätzlichen Sicherheitsschranke – dem zweiten Faktor. So lässt sich verhindern, dass Unbefugte, die im Besitz des Passworts sind, Zugang zu Daten oder Funktionen erhalten. Hacker und andere Cyberkriminelle müssen also gleichzeitig im Besitz des zweiten Faktors sein, um eindringen zu können“, verdeutlicht Patrycja Tulinska, Geschäftsführerin der PSW GROUP, die Vorteile des Prinzips 2-Faktor-Authentifizierung. Die IT-Sicherheitsexpertin mahnt jedoch: „Auf eine 2-Faktor-Authentifizierung zu setzen, ist nicht per se sicher. Nutzer sollten zwar immer auf die 2FA zurückgreifen, sobald ein Dienst sie anbietet, sich dabei aber an einige Grundregeln halten.“

Die Codes zur 2FA sind nämlich immer nur so sicher wie die zur Code-Generierung verwendete Technologie. „Wird der Code beispielsweise per SMS verschickt, lässt sich die Nachricht abfangen, etwa über das veraltete Signalisierungssystem Nr. 7, kurz SS7“, mahnt Tulinska. Auf die 1975 entwickelte Protokoll-Sammlung setzen die großen Telekommunikationsanbieter weltweit heute noch. Jeder, der Zugriff auf SS7 hat, ist theoretisch in der Lage, auf sämtliche Informationen zuzugreifen, die in den unterschiedlichen Mobilfunknetzen übertragen werden, einschließlich SMS. „Um das Risiko eines Diebstahls von SMS-Token durch SS7-Hijacking zu minimieren, sollte idealerweise ein starker zweiten Faktor, wie TOTPs oder U2F, genutzt werden“, so Patrycja Tulinska.

Auch Man-in-the-middle-Attacken sind ein einfacher Weg, 2-Faktor-Authentifizierung zu umgehen: Die vom Nutzer eingegebenen 2FA-Token werden erfasst und an legitime Server weitergeleitet mit dem Ziel, eine authentifizierte Sitzung erstellen zu können. Um an die Login-Informationen des Nutzers zu kommen, setzen Angreifer vielfach auf Fake-Domains. Diese wirken täuschend echt, sodass Nutzer ohne groß zu zögern ihre Login-Daten eingeben. Die 2FA lässt sich auch durch Social Engineering ausnutzen: Ein Angreifer muss sich nur glaubhaft als Mitarbeiter von Großkonzernen wie PayPal oder eines Telekommunikationsdienstleisters ausgeben. „Das Opfer wird zur Preisgabe von Informationen wie etwa Login- oder Kontoinformationen verleitet oder auch dazu, eine präparierte Website zu besuchen. Häufig werden Personen auch durch täuschend echt aussehende E-Mails auf gefälschte Websites geleitet, um dort Anmeldeinformationen einzugeben, die vom Angreifer abgegriffen werden“, warnt Patrycja Tulinska.

Für die Reduktion des Risikos von MitM- oder Social Engineering-Angriffen sind Aufklärung und Best Practices hilfreich: „Das Sicherheitsbewusstsein der Anwender wird dabei geschärft. Zudem können und sollten Unternehmen Phishing-Sites schon am E-Mail- oder Internet-Gateway blockieren. Auch eine Kombination aus beidem ist möglich“, rät die IT-Sicherheitsexpertin.

Einige moderne Browser wie Google Chrome verfügen über eingebaute API, die auch WebUSB genannt werden: Bei der Erstinstallation sowie Bereitstellung von USB-Geräten wird der Browser dank WebUSB miteinbezogen. Dabei kommunizieren WebUSB und die USB-Geräte miteinander. Und genau da lässt sich das 2FA-Verfahren FIDO/ U2F aushebeln. Eigentlich gelten Hardware-Token der FIDO-Allianz, die auf dem U2F-Standard (Universal 2nd Factor) basieren, als solide Lösung: Accounts werden mit einem Schlüssel versehen, der buchstäblich in jeder Tasche Platz findet. U2F-kompatible Geräte gibt es von unterschiedlichen Anbietern in verschiedenen Modellen, das bekanntesten Hardware-Token ist YubiKey von Yubico.

Sicherheitsexperten haben jedoch untersucht, ob WebUSB auch mit U2F-Geräten interagiert. Tatsächlich lassen sich Anfragen direkt an das U2F-Gerät weiterleiten, ohne den FIDO-Client im Browser zu nutzen. Die Man-in-the-Middle-Prüfung durch den FIDO-Client konnte so umgangen werden, was ärgerlich ist, denn der FIDO-Client stellt eigentlich die korrekte Identität sicher. „Wer stets aktuelle Software in allen Bereichen, auch und gerade beim Browser, verwendet, schränkt API-Zugriffe stark ein. Trotz 2FA bilden außerdem starke Passwörter eine erste Hürde für den Zugriff. Zudem rate ich den Zugriff auf sensible Informationen wie Session-Cookies oder kryptografisches Material sehr streng zu kontrollieren und Anmeldeinformationen nicht im Unternehmens-Wiki, sondern in geschützte Bereichen, zu sammeln“, empfiehlt Tulinska einige Schutzmaßnahmen.

Die 2-Faktor-Authentifizierung ist damit zwar kein Allheilmittel, baut jedoch eine weitere Schranke in gängige Login-Prozesse. Diese sind idealerweise bereits mit starken Passwörtern gesichert. Der zweite Faktor bildet dabei eine zusätzliche Barriere. „Bislang ist es noch niemandem gelungen, eine grundsätzliche Schwachstelle in 2FA auszumachen, wenngleich die verschiedenen Varianten alle ihre Vor- und Nachteile haben. Damit ist und bleibt 2FA eine der besten Methoden, das Risiko von Kontoübernahmen und unbefugtem Datenzugriff zu minimieren“, resümiert Patrycja Tulinska.

Weitere Informationen unter: https://www.psw-group.de/blog/2-faktor-authentifizierung/7371
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

IAM

Kombination von Digital Risk Protection-Plattform und IAM

ID Agent erweitert seine Digital Risk Protection (DRP)-Plattform mit Passly, eine integrierte Lösung für sicheres Identity- und Access-Management.
Asset Protection

Cyberkriminalität - PAM schützt Assets

Cyberkriminalität hat sich weltweit zu der am häufigsten vorkommenden kriminellen Aktivität entwickelt. Bis 2021 werden die illegalen Erlöse 6 Trilliarden US-Dollar ausmachen. Unternehmen müssen sich deshalb vor dieser ständig wachsenden Bedrohung schützen.
Passwort-Ablösung

Resident Keys: Passwörter und Benutzernamen gehören bald der Vergangenheit an

Viele Nutzer schätzen bereits heute kennwortlose Authentifizierung. Über Touch-ID auf unseren Smartphones ist sie heute schon Realität. Der nächste Schritt in dieser Entwicklung ist die Authentifizierung ohne Benutzernamen.
No Access

Unternehmen scheitern bei der Umsetzung einer Least Privilege-Strategie

Obwohl sie die Bedeutung einer effektiven Least Privileged-Strategie für ihre Cybersicherheit erkannt haben, kämpfen einige Unternehmen nach wie vor mit deren Umsetzung.
Mythen und Fakten

Die vier größten Fehleinschätzungen zum Privileged Access Management

Privileged-Access-Management-Lösungen, die den Zugang zu kritischen Geschäftsinformationen sichern, sind ein elementarer Bestandteil eines effektiven Cyber-Security-Programms. Allerdings gibt es nach wie vor Fehleinschätzungen rund um die Sicherung…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!