Die 2-Faktor-Authentifizierung (2FA) existiert heutzutage in zahlreichen Varianten in unserem Alltag: In Form von TAN, Token, elektronischem Personalausweis oder FIDO. Sie alle funktionieren auf ähnliche Weise: Indem das einzugebende Passwort um einen zusätzlichen Faktor ergänzt, oder einstige Login-Verfahren komplett durch eine Kombination zweier Faktoren ersetzt werden, soll zusätzliche Sicherheit geschaffen und Diebstahl oder unbefugtes Kopieren von Zugangsdaten verhindert werden.
„Bestätigt ein System die Richtigkeit des eingegebenen Kennworts, führt dies nicht etwa direkt zum gewünschten Inhalt, sondern zu einer zusätzlichen Sicherheitsschranke – dem zweiten Faktor. So lässt sich verhindern, dass Unbefugte, die im Besitz des Passworts sind, Zugang zu Daten oder Funktionen erhalten. Hacker und andere Cyberkriminelle müssen also gleichzeitig im Besitz des zweiten Faktors sein, um eindringen zu können“, verdeutlicht Patrycja Tulinska, Geschäftsführerin der PSW GROUP, die Vorteile des Prinzips 2-Faktor-Authentifizierung. Die IT-Sicherheitsexpertin mahnt jedoch: „Auf eine 2-Faktor-Authentifizierung zu setzen, ist nicht per se sicher. Nutzer sollten zwar immer auf die 2FA zurückgreifen, sobald ein Dienst sie anbietet, sich dabei aber an einige Grundregeln halten.“
Die Codes zur 2FA sind nämlich immer nur so sicher wie die zur Code-Generierung verwendete Technologie. „Wird der Code beispielsweise per SMS verschickt, lässt sich die Nachricht abfangen, etwa über das veraltete Signalisierungssystem Nr. 7, kurz SS7“, mahnt Tulinska. Auf die 1975 entwickelte Protokoll-Sammlung setzen die großen Telekommunikationsanbieter weltweit heute noch. Jeder, der Zugriff auf SS7 hat, ist theoretisch in der Lage, auf sämtliche Informationen zuzugreifen, die in den unterschiedlichen Mobilfunknetzen übertragen werden, einschließlich SMS. „Um das Risiko eines Diebstahls von SMS-Token durch SS7-Hijacking zu minimieren, sollte idealerweise ein starker zweiten Faktor, wie TOTPs oder U2F, genutzt werden“, so Patrycja Tulinska.
Auch Man-in-the-middle-Attacken sind ein einfacher Weg, 2-Faktor-Authentifizierung zu umgehen: Die vom Nutzer eingegebenen 2FA-Token werden erfasst und an legitime Server weitergeleitet mit dem Ziel, eine authentifizierte Sitzung erstellen zu können. Um an die Login-Informationen des Nutzers zu kommen, setzen Angreifer vielfach auf Fake-Domains. Diese wirken täuschend echt, sodass Nutzer ohne groß zu zögern ihre Login-Daten eingeben. Die 2FA lässt sich auch durch Social Engineering ausnutzen: Ein Angreifer muss sich nur glaubhaft als Mitarbeiter von Großkonzernen wie PayPal oder eines Telekommunikationsdienstleisters ausgeben. „Das Opfer wird zur Preisgabe von Informationen wie etwa Login- oder Kontoinformationen verleitet oder auch dazu, eine präparierte Website zu besuchen. Häufig werden Personen auch durch täuschend echt aussehende E-Mails auf gefälschte Websites geleitet, um dort Anmeldeinformationen einzugeben, die vom Angreifer abgegriffen werden“, warnt Patrycja Tulinska.
Für die Reduktion des Risikos von MitM- oder Social Engineering-Angriffen sind Aufklärung und Best Practices hilfreich: „Das Sicherheitsbewusstsein der Anwender wird dabei geschärft. Zudem können und sollten Unternehmen Phishing-Sites schon am E-Mail- oder Internet-Gateway blockieren. Auch eine Kombination aus beidem ist möglich“, rät die IT-Sicherheitsexpertin.
Einige moderne Browser wie Google Chrome verfügen über eingebaute API, die auch WebUSB genannt werden: Bei der Erstinstallation sowie Bereitstellung von USB-Geräten wird der Browser dank WebUSB miteinbezogen. Dabei kommunizieren WebUSB und die USB-Geräte miteinander. Und genau da lässt sich das 2FA-Verfahren FIDO/ U2F aushebeln. Eigentlich gelten Hardware-Token der FIDO-Allianz, die auf dem U2F-Standard (Universal 2nd Factor) basieren, als solide Lösung: Accounts werden mit einem Schlüssel versehen, der buchstäblich in jeder Tasche Platz findet. U2F-kompatible Geräte gibt es von unterschiedlichen Anbietern in verschiedenen Modellen, das bekanntesten Hardware-Token ist YubiKey von Yubico.
Sicherheitsexperten haben jedoch untersucht, ob WebUSB auch mit U2F-Geräten interagiert. Tatsächlich lassen sich Anfragen direkt an das U2F-Gerät weiterleiten, ohne den FIDO-Client im Browser zu nutzen. Die Man-in-the-Middle-Prüfung durch den FIDO-Client konnte so umgangen werden, was ärgerlich ist, denn der FIDO-Client stellt eigentlich die korrekte Identität sicher. „Wer stets aktuelle Software in allen Bereichen, auch und gerade beim Browser, verwendet, schränkt API-Zugriffe stark ein. Trotz 2FA bilden außerdem starke Passwörter eine erste Hürde für den Zugriff. Zudem rate ich den Zugriff auf sensible Informationen wie Session-Cookies oder kryptografisches Material sehr streng zu kontrollieren und Anmeldeinformationen nicht im Unternehmens-Wiki, sondern in geschützte Bereichen, zu sammeln“, empfiehlt Tulinska einige Schutzmaßnahmen.
Die 2-Faktor-Authentifizierung ist damit zwar kein Allheilmittel, baut jedoch eine weitere Schranke in gängige Login-Prozesse. Diese sind idealerweise bereits mit starken Passwörtern gesichert. Der zweite Faktor bildet dabei eine zusätzliche Barriere. „Bislang ist es noch niemandem gelungen, eine grundsätzliche Schwachstelle in 2FA auszumachen, wenngleich die verschiedenen Varianten alle ihre Vor- und Nachteile haben. Damit ist und bleibt 2FA eine der besten Methoden, das Risiko von Kontoübernahmen und unbefugtem Datenzugriff zu minimieren“, resümiert Patrycja Tulinska.
Weitere Informationen unter: https://www.psw-group.de/blog/2-faktor-authentifizierung/7371