Chancen und Grenzen der Multifaktor-Authentifizierung

Die Faktoren der Authentifizierung

Ist ein Account ausschließlich durch die Kombination von Passwort und Login-Name geschützt, kann noch nicht von einer Multifaktor-Authentifizierung die Rede sein. Zwar braucht es für den Login zwei Dinge (Name und Passwort). Allerdings gehören beide zur selben Kategorie: Dinge, die Nutzer wissen müssen – der Wissensfaktor.

Eine Zwei- oder Multifaktor-Authentifizierung macht dagegen aus, dass beim Login mehrere Faktoren herangezogen werden. Neben dem oben erwähnten Wissensfaktor gehören dazu der Besitzfaktor und der Inhärenzfaktor.

Gelegentlich werden auch der Ort und ein bestimmtes Nutzerverhalten als Faktor berücksichtigt.

Wissensbasierte Authentifizierung: Bei dieser Methode wird die Identität des Benutzers anhand von Informationen überprüft, die nur der Benutzer kennt, zum Beispiel eine persönliche Identifikationsnummer (PIN) oder eine geheime Antwort auf eine Sicherheitsfrage.

Besitzbasierte Authentifizierung: Bei dieser Methode wird die Identität des Benutzers anhand von etwas bestätigt, das der Benutzer besitzt. Das kann beispielsweise ein Hardware-Token sein, aber auch ein Einmalpasswort (OTP), das an sein Telefon gesendet wird.

Inhärenzbasierte Authentifizierung: Bei dieser Methode wird die Identität des Benutzers anhand biometrischer Merkmale wie dem Fingerabdruck oder der Gesichtsform kontrolliert.

MFA ist nicht gleich MFA

Es gibt eine Reihe von unterschiedlichen Methoden zur Umsetzung einer Zwei- oder Multifaktor-Authentifizierung, die teilweise auch in Kombination zum Einsatz kommen. Jede MFA hat ihre eigenen Stärken und Schwächen:

E-Mail- und SMS-Verifizierungscodes: Bei dieser Art von MFA wird dem Benutzer ein einmaliger Code per E-Mail oder SMS zugeschickt, den er zusätzlich zu seinem Benutzernamen und Passwort eingeben muss, um sich anzumelden. Dieser Code läuft in der Regel nach einer kurzen Zeitspanne ab, zum Beispiel nach zehn Minuten. Ein Vorteil dieser Methode ist, dass sie einfach und leicht anzuwenden ist. Die meisten Menschen haben bereits Zugang zu E-Mail und SMS, sodass Anwender keine zusätzliche Hardware oder Software benötigen. Allerdings ist es für einen Angreifer relativ einfach, den Code abzufangen, wenn er Zugriff auf die E-Mail oder das Telefon des Opfers hat.

Zeitbasiertes Einmalpasswort (One-Time Password): Bei dieser Art von MFA erhält der User ein Gerät beziehungsweise eine App, die alle paar Sekunden ein neues Einmalpasswort (OTP) generiert, das wiederum auf der aktuellen Uhrzeit basiert. Der Benutzer muss das OTP zusätzlich zu seinem Benutzernamen und Passwort eingeben, um sich anzumelden. Eine Stärke dieser Art von MFA ist ihre relativ hohe Sicherheit, verglichen mit einfacher Authentifizierung durch Username und Passwort, da das OTP auf der Grundlage der aktuellen Uhrzeit generiert wird und daher für einen Angreifer schwer vorherzusagen ist. Schwachpunkt dieser Methode ist, dass der Benutzer einen physischen Token benötigt, der verloren gehen oder gestohlen werden kann.

Push-Benachrichtigungen: Hier erhält der Benutzer eine Push-Benachrichtigung auf sein Mobilgerät, die er bestätigen muss, um sich anzumelden. Die große Stärke dieses Verfahrens liegt in seiner Benutzerfreundlichkeit. Die Sicherheit des Logins via Push basiert hier allerdings auf der Annahme, dass das Mobilgerät des Benutzers sicher ist – und der Nutzer nicht auf Phishing-Angriffe hereinfällt, die die Funktionsweise dieser MFA-Methode ausnutzen.

Hardwareschlüssel: Bei dieser Art der MFA erhält der Benutzer einen physischen Hardwareschlüssel, den er mit seinem Computer verbindet, um sich anzumelden. Die Verwendung von Hardwareschlüsseln gilt als vergleichsweise sicher, weil der Schlüssel für einen Angreifer nur schwer zu reproduzieren oder abzufangen ist. Der größte Schwachpunkt dieser Methode ist auch hier, dass der Benutzer einen physischen Hardwareschlüssel haben muss, der verloren gehen oder gestohlen werden kann.

Phishing ist nach wie vor en vogue

Angesichts dieser Phalanx an MFA-Tools, die Hackern das Leben schwerer machen wollen, könnte man meinen, dass Phishing schon zum alten Eisen gehört. Doch das Gegenteil ist der Fall. Im dritten Quartal 2022 hat die Non-Profit-Organisation APWG (Anti-Phishing Working Group) die größte Zahl an Phishing-Angriffen seit ihrem knapp 20-jährigen Bestehen gemessen. Einer der Gründe: Nicht nur die Abwehrmethoden, sondern auch Phishing wird immer raffinierter.

Prompt Bombing: Eine neue Form von Phishing

Eine neuere Methode des Phishings, die 2022 Schlagzeilen gemacht hat, ist das Prompt Bombing. Der Angreifer beschafft sich dafür zunächst die Zugangsdaten seines Opfers (zum Beispiel E-Mail-Adresse und/oder Passwort), etwa über einschlägige Darknet-Marktplätze.

Anschließend wiederholt der Angreifer mit dieser Nutzer-ID Login-Versuche auf der ursprünglichen Website, was zu einer Flut von Anmeldeaufforderungen auf dem Smartphone des Opfers führt. Das Ziel ist es, das Opfer irgendwann so „MFA-müde“ zu machen, dass es unvorsichtigerweise einer Anfrage stattgibt. Schlimmstenfalls bekommt der User gar nicht mit, dass sein Account – und damit auch etwaige Unternehmensdaten – kompromittiert wurden.

„Unternehmen, die ihre Login-Prozesse sicher wissen wollen, sollten sich für MFA-Dienste entscheiden, die beim Login auf die Authentifizierungsschnittstelle des Endgerätes setzen.“

Al Lakhani, IDEE

Im September 2022 machte ein Fall von Prompt Bombing Schlagzeilen. Ein Angreifer konnte die Push-basierte MFA des Fahrdienstvermittlers Uber ausnutzen, um an vertrauliche Daten zu gelangen. Der Angreifer hatte Zugriff auf die Nutzerdaten eines Uber-Partners und nutzte sie für zahlreiche Login-Versuche.

Jedes Mal wurde der Nutzer dazu aufgefordert, den Login mit einem zweiten Faktor zu bestätigen, zunächst lehnte er jedes Mal ab. Als der Angreifer sein Opfer aber später über WhatsApp kontaktierte und sich als Tech-Support ausgab, konnte er es schließlich dazu überzeugen, die Anmeldung zu bestätigen. Die Folge: Der Angreifer erhielt Einsicht in interne Systeme wie Ubers Google Suite und Slack-Kanäle.

Sichere MFA-Lösungen erkennen

Abseits der einzelnen Faktoren einer MFA-Lösung gibt es eine Reihe weiterer Schwachstellen, die auf den ersten Blick nicht ersichtlich sind – beispielsweise die Art, wie ein neues Gerät zur Authentifizierung hinzugefügt wird oder auch die Wiederherstellung eines Kontos bei verlorenen Zugangsdaten.

Unternehmen, die ihre Login-Prozesse sicher wissen wollen, sollten sich für MFA-Dienste entscheiden, die beim Login auf die Authentifizierungsschnittstelle des Endgerätes setzen. Diese umfassen neben der biometrischen Login-Funktion (Gesichts- und Fingerabdruckscan) auch PINs. Der PIN darf jedoch ausschließlich auf dem lokalen Gerät funktionieren. Der Fachbegriff hierfür lautet „Same Device MFA“: Eine solche MFA-Methode senkt nicht nur Kosten und Mühen im Fall verlorener Geräte, sie ist für IT-Abteilungen zu implementieren, da sie das On- und Offboarding neuer Mitarbeiter erleichtert.

Ein weiteres entscheidendes Merkmal ist die Art und Weise, wie die Lösung Nutzerdaten und private Schlüssel speichert. Cloud-Lösungen, die die Schlüssel zentral speichern, bieten hier keine ausreichende Sicherheit, da diese einen weiteren Angriffsvektor darstellen. Weitaus sicherer ist die Speicherung der Keys direkt auf dem Endgerät. Dieser dezentrale Ansatz hilft dabei, Angriffe deutlich besser einzudämmen.

Und nicht zuletzt sollten Unternehmen für den gesamten Prozess der Authentifizierung, von der Kontoerstellung, über das Hinzufügen neuer Geräte bis hin zum Offboarding, darauf einen konsequenten Zero-Trust-Ansatz verfolgen. Grundsätze des Null-Vertrauens und des transitiven Vertrauens helfen dabei, auch Angriffe von innen zu erschweren.

Fazit

Lange galt, dass eine Multifaktor-Authentifizierung – in egal welcher Form – sicher ist. Die Vorfälle der letzten Monate haben das Gegenteil bewiesen und besonders Phishing stellt eine Gefahr für die Unternehmenssicherheit dar. Schließlich haben Cyberkriminelle bereits in zahlreichen Fällen bewiesen, dass sie Push-basierte MFA umgehen können, um Zugang zu vertraulichen Daten zu erhalten. Um wirklich sicher zu sein, sollten sich Entscheider für eine Phishing-sichere MFA entscheiden.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.