Kein blindes Vertrauen in Mehrfaktor-Authentifizierung

von Udo Schneider, IoT Security Evangelist Europe

Dass die Kombination aus Username und Passwort aktuellen Sicherheitsanforderungen nicht mehr genügt, dürfte inzwischen jedem klar sein. Als Alternative werden unter anderem verschiedene Mehrfaktor-Authentifizierungsmethoden (MFA – Multi Factor Authentication; teilweise auch mit der Anzahl der Faktoren als erstem Zeichen, also „2FA“ für zwei Faktoren, bezeichnet) propagiert.

Aber spätestens seit den erfolgreichen Cyberangriffen durch die Lapsus$-Gruppe sowie den auf das Unternehmen Solarwinds dürfte MFA auch für die letzten den Nimbus der absoluten Sicherheit verloren haben. Denn die Authentifizierung mit MFA anstatt oder zusätzlich zu Benutzername/Passwort ist zwar „sicherer“, aber nicht „absolut sicher“. Verschiedene Verfahren haben verschiedene Schwächen, derer man sich beim Einsatz bewusst sein sollte.

Die häufigste Angriffsmethode ist sicherlich die „Man-in-the-Middle“-Taktik (MitM), bei der Angreifer den Benutzer dazu verleiten, den zweiten Authentifizierungsfaktor auf einer gefälschten Webseite einzugeben (Phishing). Dies erlaubt Angreifern einen (zeitweisen) Zugriff auf geschützte Bereiche. Im schlimmsten Fall können Angreifer sich so eigene MFA-Tokens anlegen.

Betroffen davon sind beispielsweise SMS- oder OTP/TOTP-Verfahren (Time-based One Time Password; zum Beispiel Google Authenticator). Hier genügt es, den Benutzer dazu zu nötigen, den Code einzugeben. Im Falle des Lapsus$-Angriffs und auch bei dem auf Solarwinds wurden Benutzer von OTP-Apps geradezu mit Anfragen zu nächtlicher Zeit bombardiert, in der (leider berechtigten) Hoffnung, dass Benutzer einfach irgendwann genervt der Aufforderung folgen. Dies funktioniert besonders effizient bei Lösungen, bei denen Push-Nachrichten auf das Gerät gesendet werden, die das Einmalpasswort generiert. Dieses „MFA-Bombing“ funktioniert sogar noch besser mit den eigentlich sogar sichereren Varianten, bei denen auf dem Mobilgerät eine App läuft, die im Hintergrund mit dem Authentifizierungs-Server kommuniziert, sodass man als Benutzer nur noch auf „Freigeben“ oder „Ablehnen“ klicken muss.

MFA-Verfahren, bei denen MitM-Angriffe nicht funktionieren, sind zum Beispiel FIDO2-Tokens. Bei diesen wird für jede Site ein eigener Schlüssel generiert. Außerdem gibt der Benutzer dort nirgendwo (etwa im Browser) etwas ein – vielmehr kommunizieren Site und Token direkt miteinander. Die Kommunikation zwischen Authentifizierungsdienst und Token ist verschlüsselt und signiert und macht MitM-Angriffe daher fast unmöglich. Nur „fast“, da es durchaus Fälle gab, bei denen Angreifer den Authentifizierungsdienst selbst kompromittiert hatten.

Aber auch FIDO2-Tokens haben ihre Schwächen. Insbesondere wenn der Token als „Soft-Token“ im Browser/Betriebssystem oder auf einem USB-Stick/Mobilgerät ohne weiteren Faktor implementiert ist. In diesem Fall reicht nämlich der Zugriff auf das Gerät, um entsprechende Anfragen freizugeben. Müssen Anfragen hingegen mit biometrischen Merkmalen (wie Fingerabdruck oder Gesichtserkennung am Laptop/Mobilgerät), physischen Interaktionen (Taster am USB-Stick) oder einfach nur mit einer PIN freigegeben werden, reicht einem Angreifer nicht mehr nur der Zugriff auf das Device. Dies sollte deshalb per Policy erzwungen werden.

Zusammenfassend kann man also sagen, dass Multifaktor-Authentifizierung im Vergleich zu Username/Passwort in fast allen Fällen eine bessere Sicherheit bietet. Man darf nur nicht den Fehler machen, sich nach der Implementierung einer MFA-Lösung zurückzulehnen und sich dann zu 100 Prozent sicher zu fühlen. Vielmehr haben verschiedene Verfahren verschiedene Schwächen, derer man sich bewusst sein muss, um die MFA-Lösung sinnvoll einzusetzen.

Awareness-Tipp:

  • Prüfen Sie bei allen Authentifizierungsverfahren, bei denen sie ein Token auf einer Webseite oder in einer App eingeben müssen, unbedingt die Authentizität der Seite oder App! Mehrfaktor-Authentifizierung ist nicht unbedingt sicher vor Phishing.
  • Wenn Sie mit Authentifizierungs-Anfragen/Benachrichtigungen bombardiert werden, sollten Sie nicht einfach aus Frust „nachgeben“. Ein solches Verhalten ist als Fehler äußerst ungewöhnlich – vielmehr ist in diesem Fall ein Angriff sehr wahrscheinlich.

Dieser Beitrag (wie auch die früheren zur Sicherheit für IoT) ist zuerst im LANline Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.