English

Der lange, aber richtige Weg zur 2-Faktor-Authentifizierung

von VPNHaus | 27.02.2020 |2 Factor Authentication, Data Security, Endpoint Management

Wir schreiben das Jahr 2020 und immer noch lassen sich Accounts, die durchaus wertvolle und private Daten beherbergen, ohne 2-Faktor-Authentifizierung anlegen. Aber, und hier kommt ein sehr großes und positives Aber – es werden immer weniger. Und selbst die Accounts, bei denen es nicht verpflichtend ist, bieten mittlerweile fast immer die Möglichkeit zur optionalen 2-Faktor-Authentifizierung. Welcher Faktor genutzt wird, ist zwar nicht egal, aber jeder 2. Faktor macht das Leben für einen Angreifer schwerer. Und daran ändern auch die ab und an auftauchenden Berichte von erfolgreichen Attacken trotz 2FA nichts.

Dabei kommen normalerweise Proxys zum Einsatz, die sich in die Kommunikation zwischen Opfer und Zielserver einklinken und aktive Session-Cookies übernehmen, um mit ihnen eigene, bereits korrekt authentisierte Anfragen an die Zielserver zu stellen. Neue Tools wie Muraena und NecroBrowser automatisieren den Vorgang, was ihn für eine größere Anzahl von Angreifern erreichbar macht. Muraena übernimmt die Rolle des Reverse-Proxy, während NecroBrowser eine große Zahl von Chrome-Instanzen mit den gestohlenen Sessions am Leben erhält. Solche Angriffe sind real und gefährlich, keine Frage. Sie benötigen aber die aktive Mithilfe des Opfers, das auf einen Phishing-Link klicken und die Verbindung zum Reverse-Proxy herstellen muss. Ohne den in die Verbindung eingeschleiften Proxy geht es nicht. Eine Phishing-Mail zu erkennen ist nicht unmöglich, das ist die Aufgabe von Awareness-Schulungen und einem bewussten Umgang mit IT und mit den eigenen kritischen Accounts. Werden Credentials einfach nur gestohlen – und das ist nach wie vor der maßgebliche Grund für erfolgreiche Angriffe auf privilegierte Accounts – sind sie ohne den 2. Faktor wertlos. Daraus folgt: 2FA ist sinnvoll und wirksam. Immer noch und vermutlich auch noch für lange Zeit. Ganz nebenbei: Mit Authentifizierungstoken nach dem U2F-Standard laufen auch Muraena und NecroBrowser ins Leere.

Der 2. Faktor kann verschiedene Formen haben. Früher waren Hardware-Token Stand der Dinge, dann wurden SMS beliebt und seit ein paar Jahren werden immer häufiger Authenticator-Apps (Auth-Apps) diverser Hersteller verwendet. Ob von Google, Microsoft, Authy, LastPass oder mittlerweile auch NCP, mit den kleinen Apps können schnell und unkompliziert Authentifizierungsfaktoren verwaltet werden. Theoretisch ist ein Hardware-Token sicherer. Um ihn zu kompromittieren, muss entweder das gemeinsame Secret bekannt sein oder die Hardware gehackt werden. Soft-Tokens wie SMS oder App bauen auf die Integrität des Betriebssystems. Ist das Handy bereits in den Händen des Angreifers, versagen auch die Apps.  Aber dazu muss der Angreifer die Hardware eben erst einmal in die Hände bekommen, ob physisch oder per Schadsoftware.

In der Regel wird ein neuer Account in der App per Barcode-Scan hinzugefügt und ist sofort danach funktionsfähig. Dabei tauschen App und 2FA-Server einen originären Schlüssel (das Secret) aus, der als Basisauthentifizierung dient. Fortan erzeugt die App regelmäßig ein neues One-Time Password (OTP) auf Basis der Uhrzeit und des Secrets. Was nicht jeder weiß ist, dass die Auth-Apps fast immer universell nutzbar sind. Der Microsoft Authenticator funktioniert nicht nur für Azure und Office 365, sondern kann auch (fast) beliebige andere Seiten verwalten. Das gleiche gilt für den neuen NCP Authenticator der noch dazu den Vorteil hat, unabhängig von einem der großen amerikanischen IT-Konzerne angeboten zu werden. Zudem kann er über die mitgelieferten Tools von einem Unternehmen provisioniert und vorkonfiguriert werden.

Die Funktionalität der Apps variiert stark. Googles Software gilt als absolute Basis-App, die nichts anderes kann als OTPs zu erzeugen. Andere Apps bieten eine bessere Verwaltung und Kategorisierung der Accounts, was gerade bei vielen Accounts in einer App wichtig ist. Ebenfalls wichtig sind die Möglichkeiten im Notfall, wenn App oder Handy defekt sind oder alle Accounts auf ein neues Smartphone umziehen sollen. Einige der Apps bieten mit automatisierten Backups deutlich mehr Komfort als andere. NCP hat zusätzlich eine biometrische Abfrage per Fingerabdruck oder Gesichtserkennung zur Freigabe der App integriert. Egal für welche App sich Organisationen und Anwender letztendlich entscheiden, wichtig ist, dass sie es tun. Ein 2. Faktor ist nach wie vor um Größenordnungen sicherer als nur ein Faktor. Und das wird auch für eine ganze Weile so bleiben.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK