Mehr-Faktor-Authentifizierung: Nicht jede Lösung ist sicher

Der Zugang zu IT-Systemen, Anwendungen und Daten muss wirkungsvoll geschützt werden. Dazu ist eine Multi-Faktor-Authentifizierung erforderlich. Allerdings ist bei der Auswahl entsprechender Lösungen Umsicht angebracht, denn etliche weisen Schwachstellen auf.

» Von Lars Gottlieb, 13.03.2015 09:02.

weitere Artikel

Der Autor ist Regional Manager DACH bei SMS Passcode.

Angriffe auf Firmennetzwerke und IT-Systeme von Unternehmen häufen sich in letzter Zeit. Besonders gefährdet sind verwertbare Informationen, etwa Kundendaten und Entwicklungsunter­lagen. Eine sehr beliebte Waffe von Kriminellen ist der Diebstahl von Login-Daten und Passwörtern, mit denen sich User bei IT-Systemen und Onlineservices anmelden. Teilweise gelingt es Angreifern, die komplette «digitale Identität» eines Nutzers zu ent­wenden, also dessen geschäftlichen E-Mail-Account und die Zugangsdaten zu Rechnern und zum Firmennetzwerk.

Doppelte Authentifizierung nötig

Um sich wirkungsvoll vor solchen Angriffen zu schützen, ist eine Multi-Faktor-Authen­­ti­fizierung erforderlich. Bei diesem Verfahren benötigt der Nutzer nicht nur ein Passwort, sondern ein weiteres Merk­mal, das seine Identität belegt. Das kann ein Gegenstand sein wie ein Smartphone, eine Smartcard oder ein Token, aber auch eine bestimmte Eigenschaft wie ein Fingerabdruck oder das Muster der Iris.

Dass einfache Verfahren wie ein Passwort nicht mehr ausreichen, stellt auch die Melde- und Analysestelle Informationssicherung (Melani) in ihrem Bericht zur IT-Sicherheitslage vom ersten Halbjahr 2014 fest. Darin fordert die Behörde explizit eine Authentifizierung von IT-Nutzern mithilfe einer Mehr-Faktor-Lösung: «In der aktuellen Bedrohungslage bieten Pass­wörter oder generell Authentisierungen, die nur auf einem Faktor beruhen, nicht mehr genügend Sicherheit. Aus diesem Grund empfiehlt Melani, immer einen zweiten Faktor zur Authentisierung zu nutzen.»

Nicht jede Methode ist sicher

Allerdings weisen Smartcards und Zertifikate, die häufig bei der Mehr-Faktor-Authentifizierung verwendet werden, einige Schwächen auf. So können Zertifikate ohne Wissen des Nutzers kopiert und vervielfältigt werden. Zudem besteht die Möglichkeit, dass sie entwendet und missbraucht werden. Das passierte bei der Attacke auf Sony Pictures Ende 2014: Den Angreifern fielen digitale Zertifikate des Unternehmens in die Hände. Damit signierten sie nach Angaben der Sicherheitsfirma Kaspersky eige­ne Schad-Software, um sie an den IT-Sicherheitssystemen vorbeizuschmuggeln.

Herkömmliche Hardware-Token wiederum haben sich als anfällig für das Abfangen von Daten erwiesen, die im Rahmen einer Session übermittelt werden. Dies geschieht beispielsweise bei Man-in-the-Middle-Attacken oder Session-Hijacking. Zudem ist es möglich, dass Hardware-Token gestohlen und anschliessend missbraucht werden. Ein weiterer Nachteil von Token, speziell von Hardware-basierten Modellen, sind die relativ hohen Kosten.

Authentifizierung per Telefon

Unternehmen setzen daher verstärkt auf Mehr-Faktor-Authentifizierungslösungen, bei denen Mobiltelefone als Token dienen. Um sich an einem IT-System oder Onlineportal anzumelden, muss der Nutzer Login-Name und Passwort eingeben, zudem einen Code, der auf das Mobiltelefon übermittelt wird. Viele Lösungen setzen dabei auf One-Time-Passwörter (OTP) oder Codes, die im Voraus erzeugt wurden (Pre-Issued Code). Sie werden aus einer zentralen Seed-Datei generiert. Gelangt diese in falsche Hände, sind möglicherweise Tausende von Endgeräten gefährdet. Auch ein einzelner, vorfabrizierter Code kann entwendet werden. Sicherer sind Lösungen, die erst nach erfolgreicher Anfrage durch den User beziehungsweise dessen Endgerät den Code erzeugen, der für die Authentifizierung nötig ist. Dieses Verfahren kombiniert somit abfrage- und sitzungsbasierte Sicherheitsmechanismen.

Ein zweiter Sicherheitsfaktor ist die Bindung des Einmalpassworts an ein bestimmtes End­gerät. Ein Grossteil der Mehr-Faktor-Authentifizierungslösungen übermittelt den Code unabhängig davon, von welchem Endsystem aus die Anfrage gestartet wurde. Fängt ein Angreifer den Code ab, kann dieser daher selbst eine Session von einem beliebigen Endgerät aus aufbauen. Wichtig ist daher, dass das Authentifizierungssystem erkennt, von welchem Rechner aus die Anfrage erfolgt. Das Passwort wird dann exklusiv diesem System zugeordnet. Solche sitzungs­basierten Mehr-Faktor-Authentifizierungslösungen schützen somit nachhaltig vor komplexen Bedrohungen wie Phishing-Angriffen.

Lesen Sie auf der nächsten Seite: Schnelle Zustellung des Codes

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.