IT-Security

2-Faktor-Authentifizierung: Hält doppelt wirklich besser?

18. Februar 2020 von Bianca Wellbrock

2-faktor-authentifizierung
© Andrey Popov - stock.adobe.com

5
(5)

In zahlreichen Varianten existiert die sogenannte 2-Faktor-Authentifizierung (2FA): Diese funktioniert indem das vorher einzugebende Passwort um einen zusätzlichen Faktor ergänzt, oder einstige Login-Verfahren komplett durch eine Kombination zweier Faktoren ersetzt werden. In unserem heutigen Blogbeitrag werfen wir einen Blick auf die verschiedenen Ansätze der 2-Faktor-Authentifizierung und betrachten auch die Risiken. Grundsätzlich gilt: Auf eine 2-Faktor-Authentifizierung zu setzen, ist immer sicherer.

Häufig werden die Begrifflichkeiten „Authentisierung“ und „Authentifizierung“ im Zusammenhang mit der 2-Faktor-Authentifizierung synonym verwendet. Streng genommen beschreiben diese Begriffe jedoch verschiedene Teilprozesse von Anmeldevorgängen. Nutzer authentisieren sich mit eindeutigen Anmeldeinformationen wie Passwort oder Chipkarte an einem System. Mit dem Überprüfen der Gültigkeit der verwendeten Daten authentifiziert das System den Nutzer.

Das Konstrukt 2-Faktor-Authentifizierung

In aller Regel beginnt der Authentisierungsprozess bei der 2-Faktor-Authentifizierung mittels mehrerer Faktoren mit dem Eingeben eines sicheren Passworts. Bestätigt das System die Richtigkeit des eingegebenen Kennworts, führt dies nicht etwa direkt zum gewünschten Inhalt, sondern zu einer zusätzlichen Sicherheitsschranke – dem zweiten Faktor. So lässt sich verhindern, dass Unbefugte, die im Besitz des Passworts sind, Zugang zu Daten oder Funktionen erhalten.

Üblicherweise greifen die Systeme hinter der 2-Faktor-Authentifizierung nach der Kennwortabfrage auf ein externes System zurück, um die zweistufige Prüfung des Nutzers durchzuführen. Wie dies aussieht, kann von Anbieter zu Anbieter verschieden sein: Womöglich wird ein zweiter Code auf ein externes Gerät wie das Smartphone gesendet. Möglich ist weiter, dass der zweite Faktor der Fingerabdruck des Nutzers auf einem entsprechenden Sensor ist. Denkbar sind auch Chipkarten oder USB-Tokens. Grundlegend für die 2-Faktor-Authentifizierung sind drei Säulen:

  • Wissen: Die Nutzerin oder der Nutzer verfügt über Wissen, das nur ihm bekannt sind. Beispiele dafür sind Kennwörter, PINs, Antworten auf Sicherheitsfragen oder aber die User-Kennung.
  • Merkmale: Ein eindeutiges Nutzermerkmal wie der Fingerabdruck oder auch das Muster der Iris des Auges weist den Nutzer aus.
  • Besitz: Nutzer sind im Besitz eines entsprechenden Gegenstands wie einer Zugangskarte, einem Schlüssel oder einem Token.

Die jeweils verwendeten Faktoren stammen idealerweise aus verschiedenen Kategorien. So wird die 2-Wege-Authentifizierung sicherer, wenn Wissen (z. B. PIN oder Passwort) mit Besitz (z. B. Chipkarte) oder Biometrie (z. B. Finger-/Augenabdruck) kombiniert werden.

Der wohl größte Vorteil der 2FA besteht darin, dass weder Diebstahl noch ein unbefugtes Kopieren von Zugangsdaten Zugang zum System freigeben. Hacker und andere Cyberkriminelle müssen gleichzeitig im Besitz des zweiten Faktors sein, um eindringen zu können. Die häufigsten Bedrohungsszenarien für den Identitätsdiebstahl sind dank 2-Faktor-Authentifizierung auszuschließen.

Häufig genutzte Verfahren zur zweistufigen Authentifizierung

Es gibt viele Verfahren zur 2-Faktor-Authentifizierung – die fünf am häufigsten genutzten stellen wir Ihnen im Folgenden vor.

TAN/ OTP

Unter TAN (Transaktionsnummer) bzw. OTP (One-Time-Password) versteht man ein Einmalkennwort, welches als zweiter Faktor übermittelt wird. In grauer Vorzeit stellte man TANs auf Papierlisten bereit, jedoch zeigte sich dieses Verfahren als nicht sicher. TAN-Generatoren (Hardware) bzw. Authenticator Apps (Software) sind sicherer; sie generieren Einmalkennwörter ereignis- oder zeitbasiert. Zu den sichersten Varianten am derzeitigen Markt zählen TAN-Generatoren, die zum Erzeugen einer TAN Transaktionsdaten wie Kontonummer oder Betrag einbeziehen (eTAN, chipTAN).

TOTP/ HOTP

TOTP steht für Time-based One-Time Password, womit Sinn und Zweck schon etwas klarer werden. Solche Passwörter werden kryptografisch generiert und eignen sich zur einmaligen Verwendung. Die Passwörter werden mittels TOTP-Software erzeugt; in aller Regel durch eine App auf einem Mobilgerät. Während der Initialisierung schaffen Server und App entsprechende TOTP-Passwörter. Eine ähnliche Alternative ist unter dem Namen HOTP (HMAC-based One-time Password) bekannt.

Der Markt stellt verschiedene Hardware für die 2FA bereit; allen voran sind hier RSA SecurID oder SafeNet eToken zu nennen. Wenngleich sich die Produkte im Detail unterscheiden können, ähneln sich die Hauptfunktionen. Ähnlich wie bei Software-Token wird kryptografisch eine Zufallszahl generiert, die als zweiter Faktor im Login-Prozess genutzt wird.

Token

Das kryptografische Token dient dazu, einen privaten kryptografischen Schlüssel zu speichern. Die Authentifizierung erfolgt, indem eine Anforderung an das Token gesendet wird, welches nur vom Token mit dem privaten Schlüssel korrekt beantwortet werden kann.

Elektronischer Personalausweis/ eID

Sie können Ihre elektronischen Ausweisdokumente wie den elektronischen Personalausweis zum Authentisieren im Internet nutzen. Mithilfe eines geeigneten Kartenterminals oder Smartphones kann das sogenannte „Extended Access Control“-Protokoll (V2) gemäß TR-03110 ausgeführt werden. Wer auf die im Ausweis gespeicherten Daten zugreifen möchte, benötigt ein Berechtigungszertifikat. Selbiges ermöglicht es Bürgerinnen und Bürgern, die Idenität sowie den Zweck des Datenzugriffs zu erkennen.

Gespeichert sind auf dem Ausweis alle unter § 18 PAuswG aufgeführten Attribute (Familien- und Geburtsname, Vornamen, Doktorgrad, Geburtstag und -ort, Anschrift, Dokumentenart, Ordens- oder Künstlernamen). Mit dem „dienste- und kartenspezifischen Kennzeichen“ lassen sich datenschutzfreundliche Pseudonyme berechnen. Weiter lassen sich mithilfe der eID datenschutzfreundliche Wohnortbestätigungen sowie Altersverifikationen durchführen.

FIDO/ U2F

Hardware-Token der FIDO-Allianz, die auf dem U2F-Standard (Universal 2nd Factor) basieren, gelten als solide Lösung, die Accounts mit einem Schlüssel versieht, der buchstäblich in jeder Tasche Platz findet. Den U2F-Token schließen Sie einfach an Ihr Gerät an und registrieren sich mit einem kompatiblen Dienst. Nach wenigen Klicks sind Sie registriert.

Das wohl prominenteste Beispiel für einen solchen Hardware-Token ist YubiKey von Yubico. U2F-kompatible Geräte gibt es auf dem Markt von unterschiedlichen Unternehmen in verschiedenen Modellen.

Sicherheitsrisiken von 2FA

Nachdem Sie die gängigsten Verfahren zur 2-Faktor-Authentifizierung kennengelernt haben, machen wir Sie nun vertraut mit den Sicherheitsrisiken.

SS7 Hijacking

Die Codes zur 2FA sind immer nur so sicher wie die zum Code-Generieren verwendete Technologie. Wird der Code beispielsweise per SMS verschickt, lässt sich die Nachricht abfangen, etwa über das veraltete Signalisierungssystem Nr. 7 (SS7). 1975 entwickelt, verbirgt sich dahinter eine Protokoll-Sammlung, auf die große Telekommunikationsanbieter weltweit heute noch setzen. Jeder, der nun Zugriff auf SS7 hat, ist theoretisch in der Lage, auf sämtliche Informationen zuzugreifen, die in den unterschiedlichen Mobilfunknetzen übertragen werden, einschließlich SMS. Schon 2016 hatte das NIST empfohlen, auf den Einsatz der SMS zur Zwei-Faktor-Authentifizierung zu verzichten.

Wenig verwunderlich, denn SS7 bietet nicht einmal die grundlegenden Schutzmaßnahmen: Weder wird der Verkehr verschlüsselt noch können die Geräte zwischen legitimen und falschen Kommandos unterscheiden. Unabhängig von der Quelle wird von dem System einfach jedes Kommando verarbeitet.

MitM

Man-in-the-middle-Attacken (MitM-Attacken) sind in ihrer Durchführung erschreckend einfach und sie beschränken sich keinesfalls nur auf die Computersicherheit oder den Online-Bereich. In der einfachsten Form des MitM-Angriffs schaltet sich der Cyberkriminelle schlicht zwischen zwei Parteien, die gerade miteinander kommunizieren, hört die gesendeten Nachrichten ab und gibt sich schließlich als eine der zwei Parteien aus.

So gelingt auch ein einfacher Weg, 2-Faktor-Authentifizierung zu umgehen: die vom Nutzer eingegebenen 2FA-Token werden erfasst und an legitime Server weitergeleitet mit dem Ziel, eine authentifzierte Sitzung erstellen zu können. Um zunächst an die Login-Informationen des Nutzers zu kommen, setzen Angreifer vielfach auf Fake-Domains. Diese wirken täuschend echt, sodass Nutzer ohne groß zu zögern ihre Login-Daten eingeben.

WebUSB-Angriff

Einige moderne Browser wie etwa Google Chrome (bis Version 67; in späteren Versionen eingeschränkt) verfügen über eingebaute API, die auch WebUSB genannt werden. Bei der Erstinstallation sowie beim Bereitstellen von USB-Geräten wird der Browser dank WebUSB miteinbezogen. Dabei kommunizieren WebUSB und die USB-Geräte direkt miteinander.

Verschiedene Sicherheitsexperten, darunter Markus Vervier sowie Michele Orru, haben untersucht, ob WebUSB auch mit U2F-Geräten interagiert. Anfragen ließen sich in dem Versuch direkt an das U2F-Gerät weiterleiten, ohne den FIDO-Client im Browser zu nutzen. Die MitM-Prüfung durch den FIDO-Client konnte so umgangen werden – ärgerlich, denn der FIDO-Client stellt eigentlich die korrekte Identität sicher.

Social Engineering

Bei Social Engineering-Angriffen täuschen die Täter falsche Identitäten und Absichten vor, um an Informationen, Daten oder andere Dinge zu kommen. So gibt sich ein Angreifer beispielsweise als Techniker, als Mitarbeiter von Großkonzernen wie PayPal oder Telekommunikationsunternehmen aus. Das Opfer wird zur Preisgabe von Informationen wie etwa Login- oder Kontoinformationen verleitet oder auch dazu, eine präparierte Website zu besuchen. Häufig werden Personen auch durch täuschend echt aussehende E-Mails auf gefälschte Websites geleitet, um dort Anmeldeinformationen einzugeben, die vom Angreifer abgegriffen werden.

Identitätsdiebstahl

Fürs Authentifizieren in Drahtlos-Netzwerken, VPNs oder als Webressourcen via HTTPS lassen sich Client-seitige Zertifikate als zweiter Faktor nutzen. Diese Variante der 2FA bietet eine starke Kontrolle und ermöglicht eine gegenseitige Authentifzierung zwischen Client und Server.

Jedoch sind durchaus Fälle bekannt, in denen die Client-seitigen Zertifikate mit schwachen Passwörtern ausgestattet sind. Durch geleakte oder schwache Standard-Login-Daten können Angreifer zugreifen, die Zertifikate stehlen und die Authentifizierung so ungesehen passieren.

2-Faktor-Authentifizierung sicher verwenden

Sie sehen: Die 2-Faktor-Authentifizierung kann Sie sicherer agieren lassen, wenn Sie sich an einige Grundregeln halten. Nutzen Sie die 2FA, sobald ein Dienst sie anbietet. Um das Risiko eines Diebstahls von SMS-Token durch SS7-Hijacking zu minimieren, verwenden Sie idealerweise einen stärkeren zweiten Faktor, beispielsweise TOTPs oder U2F.

Für die Reduktion des Risikos von MitM- oder Social Engineering-Angriffen sind Aufklärung und Best Practices hilfreich. Es gilt, das Sicherheitsbewusstsein der Anwenderinnen und Anwender zu schärfen. Unternehmen können Phishing-Sites schon am E-Mail- und/ oder Internet-Gateway blockieren.

Verwenden Sie aktuelle Software in allen Bereichen; auch und gerade bei Ihrem Browser. So ist der API-Zugriff ab Chrome in der Version 67 stark eingeschränkt. Achten Sie trotz 2FA auf starke Passwörter als erste Hürde für den Zugriff – das ist nach wie vor grundlegend. Kontrollieren Sie den Zugriff auf sensible Informationen wie Session-Cookies oder kryptografisches Material sehr streng. Ihre Anmeldeinformationen sammeln Sie nicht an allgemein zugänglichen Orten wie Ihrem Unternehmens-Wiki, sondern legen diese in geschützte Bereiche ab.

Die 2-Faktor-Authentifizierung ist kein Allheilmittel. Sie baut jedoch eine weitere Schranke in gängige Login-Prozesse. Diese sind idealerweise bereits mit starken Passwörtern gesichert. Der zweite Faktor bildet eine zusätzliche Barriere. Bislang ist es noch niemandem gelungen, eine grundsätzliche Schwachstelle in 2FA auszumachen, wenngleich die verschiedenen Varianten alle ihre Vor- und Nachteile haben. Damit ist und bleibt 2FA eine der besten Methoden, das Risiko von Kontoübernahmen und unbefugtem Datenzugriff zu minimieren.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 5



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu