English

Mit zwei Faktoren authentisieren, aber richtig!

von VPNHaus | 02.06.2015 |2 Factor Authentication


Zwei-Faktor- oder Multi-Faktor-Authentisierung wird heute von sehr vielen Webseiten wie Dropbox, Google, Apple, Facebook oder PayPal unterstützt. Sie hebt den Sicherheitslevel, weil neben einem Faktor den man kennt (das Passwort) ein weiterer Faktor, den man hat (Zwei-Faktor) oder der man ist (Multi-Faktor) für den erfolgreichen Einlog-Vorgang notwendig sind. Durch diese relativ einfache Erweiterung der Authentisierung sind erbeutete Passwort-Dateien schlichtweg wertlos. Ohne den oder die weiteren Faktor(en), häufig ist das eine PIN, die per SMS oder (weniger sicher) per Mail verschickt wird, ist keine Anmeldung möglich. Aber nur weil Zwei-Faktor Authentisierung eingesetzt wird, ist die Anmeldung noch nicht automatisch sicher. So sind zwei Faktoren die auf dem gleichen Endgerät auflaufen, auch wenn sie über zwei verschiedene Kommunikationskanäle übertragen werden, kein Gewinn für die Sicherheit. Eine PIN, die per SMS gesendet wird, mit einem Schlüsselwort über E-Mail oder durch eine App abzusichern, ist zu Zeiten von Smartphones mit standardmäßig eingebauten Mail-Clients nicht mehr sinnvoll.

Bei hohen Sicherheitsansprüchen ist es auch wichtig, den Code für die Authentisierung erst dann zu generieren, wenn die Session gestartet und die Authentisierung mit dem ersten Faktor bereits durchgeführt wurde. Es ist zwar aus verschiedenen Gründen einfacher, wenn die Endgeräte mit vorgefertigten Codes ausgestattet werden, doch sind solche Implementationen systembedingt leichter angreifbar. Sie benötigen in der Regel eine Seed-Datei deren Inhalt die Ausgangsdaten für die später erzeugten Codes enthält. Wird die Seed-Datei gestohlen oder kompromittiert, könnten auch die damit erzeugten Codes repliziert werden. Ebenfalls wichtig: der erzeugte Code für ein Endgerät darf nur auf diesem Endgerät nutzbar sein. Sollte der Code abgefangen werden, ist er auf einem anderen Endgerät wertlos. Damit werden Man-in-the-Middle-Attacken erschwert.

Egal wie der zweite Faktor beim Anwender ankommen soll, es muss zeitnah geschehen. Wer Authentisierung beruflich nutzt, will nach der Eingabe des Passworts möglichst gleichzeitig den zweiten Faktor erhalten, um mit der Arbeit beginnen zu können. Gerade wenn sich der Empfänger im Ausland aufhält, ist SMS als Übertragungsmedium anfällig für Verzögerungen. Das SMSC des ausländischen Mobile Operators verschickt Nachrichten oft nur mit Verspätung – für den Anwender ist das lästig bis fatal, weil das Zeitfenster für die Gültigkeit des Passcodes begrenzt ist. Umgehen lassen sich solche Probleme durch einen Authentisierungsbetreiber mit eigenem SMSC, der unabhängig vom Mobilfunkanbieter arbeitet und die Nachrichten mit dem Code selbst an die User verschickt. Dabei erhöht es den Bedienungskomfort, wenn die SMS als Flash-Variante zugestellt wird. Dann ist sie sofort als Laufschrift auf dem Startbildschirm sichtbar, ohne dass man dazu die Inbox öffnen muss.

Authentisierung mit zwei oder mehr Faktoren gehört die Zukunft. Wenn die großen der Branche wie Facebook oder Twitter mitmachen, ist klar, wohin die Reise geht. Und der Markt reagiert entsprechend: Es gibt zahlreiche Produkte für kleine bis große Unternehmen, die eine breite Palette von Authentisierungsoptionen abdecken. Die Bandbreite reicht von E-Mail und SMS über App, Soft-Token und synthetischer Sprachnachricht bis hin zu biometrischen Merkmalen. Die einzige Hürde ist, die Anwender damit vertraut zu machen. Aber spätestens wenn Microsoft mit Windows 10 Zwei-Faktor-Authentisierung als Standard einführt, wird sich auch dieses Problem allmählich von alleine lösen.

Lesen Sie mehr:

<a href="http://vpnhaus.ncp-e.com/de/2015/01/28/zwei-faktor-authentifizierung-transformiert-selbst-123456-in-ein-sicheres-passwort/">Zwei-Faktor-Authentifizierung transformiert selbst 123456 in ein sicheres Passwort</a>

<a href="http://vpnhaus.ncp-e.com/2013/04/25/why-two-factor-authentication-matters/">Why Two-Factor Authentication Matters</a>

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK