Der Faktor Mensch war immer das schwächste Glied im Sicherheitssystem. Laut dem Verizon´s Data Breach Investigations Report 2018 machen Phishing und Social Engineering 93 Prozent der Sicherheitsverstöße aus.
Passwörter sind das einfachste Einfallstor für Hacker und gestohlen digitale Identitäten sind momentan ein gutes Geschäft für Cyberkriminelle im Darknet. Am Anfang dieses Jahres entdeckte der Online-Sicherheitsforscher Troy Hunt eine illegale Datenbank mit über zwei Milliarden Passwörtern und Benutzernamen, die aus früheren Angriffen auf eine Vielzahl von Domains zusammengestellt wurden. Das war schockierend, aber nicht überraschend. Hacker verwenden im Allgemeinen verschiedene Techniken, um Passwörter zu knacken, und diese relativ einfachen Tricks sind:
- Common Password Attacks, der sogenannte Wörterbuchangriff. Ein Computer verwendet eine Wortliste, um ein passendes Passwort zu finden.
- Ein hybrider Angriff, bei dem der Computer einige Zahlen und Sonderzeichen zu den Wörtern in der Wortliste hinzufügt.
- Ein Maskenangriff, der auf Annahmen basiert, ein Brute-Force-Angriff, der jede mögliche Kombination versucht, bis er eine Übereinstimmung findet.
- Angriffe auf Hashes. Normalerweise, wenn sich ein Benutzer bei der Website anmeldet, wird das Passwort des Benutzers durch einen Hash-Algorithmus gesendet und dann mit dem gespeicherten Hash verglichen. Wenn es dasselbe ist, lassen sie den Benutzer rein. So läuft der Prozess, um zu verhindern, dass Cyberkriminelle auf den Server eindringen und Benutzerpasswörter stehlen, aber sie könnten trotzdem Hashes stehlen. In diesem Fall können sie versuchen, Passwortkombinationen in den Hash-Algorithmus einzubinden und die resultierenden Hashes mit den gestohlenen vergleichen.
Administratoren und Endbenutzer wenden sich deshalb zunehmend stärkeren Authentifizierungsarten zu, wie der Zwei-Faktor-Authentifizierung (2FA) und der Mehr-Faktor-Authentifizierung (MFA), die auch 2FA umfasst, die in der Regel stärker als eine Ein-Faktor- Authentifizierungslösungen (1FA) sind.
Die zweistufige Überprüfung bietet nur scheinbare Sicherheit
2FA ist die am häufigsten verwendete Maßnahme zur Absicherung von Passwörtern vor allem auf der Seite der End-Benutzer. Es ist ein gegenseitiger Authentifizierungsprozess, bei dem sich Server und Client gegenseitig authentifizieren müssen. Um die Sicherheit von Benutzerkonten zu erhöhen, bieten viele Websites und Social Media eine zweistufige Überprüfung an. Eine solche zusätzliche Sicherheitsmaßnahme ist sehr schön, aber als Benutzer sollten Benutzer nicht denken, dass sie auf diese Weise vollständig vor Hackern geschützt sind. Die zweistufige Überprüfung ist sehr einfach:
Nach der Eingabe von Benutzername und Passwort auf einer Website oder in einer App erhalten sie in der Regel eine Nachricht auf ihrem Handy mit einem Sicherheitscode. Der Benutzer muss auch diesen Code eingeben, erst dann ist er eingeloggt. Seit einigen Jahren empfehlen Sicherheitsexperten eine zweistufige Authentifizierung, zum Beispiel für LinkedIn, Twitter oder Instagram. Es ist auch ratsam, das Postfach damit zusätzlich abzusichern (sowohl Microsoft als auch Google bieten dies für Outlook und Gmail an).
Die zweistufige Authentifizierung ist jedoch nicht eine sehr sichere Lösung. Um genau nachzuvollziehen, wie 2FA bzw. MFA gehackt werden können, muss erstmal verstanden werden, wie die allgemeine Authentifizierung funktioniert. Der Authentifizierungsprozess beginnt mit der Eingabe von einem eindeutigen Anmeldekennsatz-Label (z.B. Anmeldename, E-Mail-Adresse, etc.) oder die Übermittelung einer eindeutigen digitalen Zeichenkette, oft von einem Gerät (z.B. digitales Zertifikat, öffentlicher Schlüssel, etc.). Die übergebene Identifikation muss im Namensraum eindeutig sein (z.B. DNS, Active Directory, etc.). Der Benutzer beweist dann seine Kontrolle über die Identität, indem er nachweist, dass angeblich nur er Zugang zu ihr hat. Dies geschieht typischerweise mit einem oder mehreren von drei traditionellen Authentifizierungsfaktoren:
- Etwas, das nur sie wissen (wie ein vom Benutzer formuliertes Passwort, eine PIN oder das Verbinden einer Reihe von Punkten in der richtigen Reihenfolge).
- Einen Sicherheitstoken, was der Benutzer hat (normalerweise ein Gerät eines Typs), oder
- Eine biometrische Verifizierung, was der Benutzer online ist (z.B. Fingerabdruck, Netzhautabdruck oder Venendruck).
Welche Schwäche befinden sich bei 2FA bzw. MFA?
Es ist immer wichtig zu wissen, dass das resultierende Token-Format und -Typ der Zugriffskontrolle in der Regel für alle Authentifizierungsmethoden identisch ist, unabhängig davon, wie die Authentifizierung eines Subjekts erfolgreich validiert wurde. Unabhängig davon, wie Benutzer sich beispielsweise bei einer Website (z.B. 1FA, 2FA oder MFA) authentifizieren, ist das resultierende Zutrittskontroll-Token fast immer eine einfache Klartextdatei, bekannt als Cookie. Das Cookie ist gleich, unabhängig davon, ob sie sich mit einer Kombination aus Benutzername und Passwort, einem
Fingerabdruckscan oder einer anderen von einer Website akzeptierten Authentifizierungsmethode angemeldet haben.
Unabhängig davon, wie sich ein Benutzer bei einem Windows-Computer authentifiziert hat, wird das resultierende Zugriffskontroll-Token durch ein Kerberos-Ticket oder NTLM- (oder LM)-Token dargestellt. Viele Benutzer glauben fälschlicherweise, dass, wenn sie sich mit einer Smartcard oder einem Fingerabdruck authentifiziert haben, Windows (und/oder Active Directory) das digitale Smartcard-Zertifikat (auch bekannt als privater Schlüssel) oder den Fingerabdruck-Scan des Benutzers an alle anderen beteiligten Komponenten sendet, die nach Authentifizierung und Autorisierung fragen. Das ist leider nicht so. Stattdessen wird nach der erfolgreichen Authentifizierung die Identität des Betreffenden mit dem gleichen Ticket- oder Token-Typ versehen, und dieser Zutrittskontroll-Token wird an zukünftigen Autorisierungsereignissen teilnehmen. Es ist oft diese Trennung zwischen der Art der verwendeten Authentifizierung und dem daraus resultierenden Zugriffskontroll-Token, die zu vielen Hacks führt. Kevin Mitnick, der einst der meistgesuchte Hacker des FBI war und heute der KnowBe4 Chief Hacking Officer ist, entdeckte, dass die Sicherheitsmethode verwundbar ist. Es gibt nicht weniger als 12 Möglichkeiten, wie Cyberkriminelle die zweistufige Überprüfung umgehen können.
Der Hauptweg ist folgender: Hacker senden dem vorgesehenen Opfer eine Phishing-E-Mail. Wenn der Empfänger auf den Link in der E-Mail klickt, wird er auf eine echte Website – zum Beispiel LinkedIn – weitergeleitet und kann sich wie gewohnt anmelden, einschließlich des Sicherheitscodes, den er auf seinem Handy erhält. Durch Anklicken des Links wird jedoch der Server des Hackers für die Anmeldung verwendet. Der Hacker kann dann das Session-Cookie abrufen. Durch die Eingabe des Cookies in seinem Browser und die Betätigung der Eingabetaste wird er in das Konto des Opfers eingeloggt.
Fazit
Bedeutet dies, dass eine zweistufige Verifikation nutzlos ist? Sicherlich nicht. Damit schaffen Benutzer und Unternehmen eine zusätzliche Barriere für Cyberkriminelle und alle anderen Personen, die Zugang zu ihren Konten haben könnten. Sicherheitsexperten empfehlen immer ein mindestens zweistufiges Verfahren.
Aber: Wenn Benutzer das zweistufige oder mehrstufige Verfahren zur Authentifizierung ihrer Konten eingerichtet haben, können sie sich nicht zurücklehnen und entspannen. Benutzer sollten wachsam bleiben und sicherstellen, dass sie sich nicht mit Phishing beschäftigen, bevor sie auf einen Link in einer E-Mail klicken. Wenn Benutzer die Möglichkeit haben, über ihren Arbeitgeber an einer Schulung zum Thema Sicherheitsbewusstsein teilzunehmen, sollten sie diese nutzen. Es kann eine Menge unerwünschten Ärger verhindern.
Jelle Wieringa, Security Awareness Advocate bei KnowBe4
www.knowbe4.com