Was bei der Verwendung von 2FA bei Websites und Diensten zu beachten ist
Die Zwei-Faktor-Authentifizierung (2FA) ist eine spezielle Art der Multi-Faktor-Authentifizierung (MFA), die die Zugriffssicherheit erhöht, indem zwei Methoden (auch als Authentifizierungsfaktoren bezeichnet) zur Überprüfung Ihrer Identität erforderlich sind. Diese Faktoren können etwas umfassen, das Sie kennen – wie einen Benutzernamen und ein Kennwort – sowie etwas, das Sie haben – wie eine Smartphone-App -, um Authentifizierungsanfragen zu genehmigen.
2FA schützt vor Phishing-, Social-Engineering- und Brute-Force-Angriffen auf Kennwörter und bewahrt Ihre Anmeldungen vor Angreifern, die schwache oder gestohlene Anmeldedaten ausnutzen.
Die Zwei-Faktor-Authentifizierung (2FA) ist das grundlegende Element eines Zero-Trust-Sicherheitsmodells. Um sensible Daten zu schützen, müssen Sie überprüfen, ob die Benutzer, die auf diese Daten zugreifen wollen, auch die sind, die sie vorgeben zu sein. 2FA ist ein wirksamer Schutz gegen viele Sicherheitsbedrohungen, die auf Benutzerkennwörter und -konten abzielen, wie z. B. Phishing, Brute-Force-Angriffe, Ausnutzung von Anmeldeinformationen und mehr.
Angenommen, Sie verwenden einen Benutzernamen und ein Kennwort, um die primäre Authentifizierung bei einer Anwendung abzuschließen. Diese Informationen werden über das Internet (Ihr primäres Netzwerk) gesendet. Sie möchten einen anderen (Out-of-Band-)Kanal verwenden, um Ihren zweiten Faktor abzuschließen. Die Genehmigung einer Push-Benachrichtigung, die über Ihr Mobilfunknetz gesendet wird, ist ein Beispiel für eine Out-of-Band-Authentifizierung.
Welche Arten von 2FA gibt es?
SMS 2FA
Bei der Zwei-Faktor-Authentifizierung per SMS wird die Identität eines Benutzers durch das Senden eines Sicherheitscodes an sein Mobilgerät bestätigt. Der Benutzer gibt den Code dann auf der Website oder in der Anwendung ein, für die er sich authentifizieren möchte.
TOTP 2FA
Die zeitbasierte 2FA-Methode TOTP (Time-Based One Time Password) generiert einen Schlüssel lokal auf dem Gerät, auf das ein Benutzer zuzugreifen versucht. Der Sicherheitsschlüssel ist in der Regel ein QR-Code, den der Benutzer mit seinem Mobilgerät scannt, um eine Reihe von Zahlen zu generieren. Der Benutzer gibt diese Zahlen dann auf der Website oder in der Anwendung ein, um Zugang zu erhalten. Die von den Authentifikatoren generierten Passwörter laufen nach einer bestimmten Zeit ab, und ein neues wird generiert, wenn sich der Benutzer das nächste Mal bei einem Konto anmeldet. TOTP ist Teil der Open Authentication (OAUTH)-Sicherheitsarchitektur.
Push-basierte 2FA
Push-basierte 2FA verbessert SMS und TOTP 2FA, indem sie zusätzliche Sicherheitsebenen hinzufügt und gleichzeitig die Benutzerfreundlichkeit für Endbenutzer verbessert. Push-basierte 2FA bestätigt die Identität eines Benutzers mit mehreren Authentifizierungsfaktoren, die andere Methoden nicht bieten können. Duo Security ist der führende Anbieter von Push-basierter 2FA.
U2F-Token
U2F-Token sichern die Zwei-Faktor-Authentifizierung, indem sie einen physischen USB-Anschluss verwenden, um den Standort und die Identität eines Benutzers zu überprüfen, der sich anmelden möchte. Um einen U2F-Token zu verwenden, steckt der Benutzer den Token in sein Gerät und drückt die Taste auf der Oberseite des Geräts. Sobald der Token aktiviert ist, gibt der Benutzer seine PIN ein und erhält Zugang zu seinen Konten.
WebAuthn
Die Web Authentication API wurde von der FIDO (Fast IDentity Online) Alliance und dem W3C entwickelt und ist eine Spezifikation, die eine starke Registrierung und Authentifizierung mit öffentlicher Schlüsselkryptographie ermöglicht. WebAuthn (Web Authentication API) ermöglicht es Drittanbietern wie Duo, die in Laptops und Smartphones eingebauten biometrischen Authentifikatoren anzuzapfen, so dass sich die Benutzer schnell und mit den Tools authentifizieren können, die sie bereits zur Hand haben.
Welchen Bedrohungen begegnet 2FA?
- Gestohlene Passwörter
- Phishing-Versuche
- Social Engineering
- Brute-Force Attacks
- Broken Logic
- Key Logging
Schwachstellen in der Zwei-Faktor-Authentifizierung
Umgehung der Zwei-Faktor-Authentifizierung
Zum Teil, ist die Implementierung der Zwei-Faktor-Authentifizierung so mangelhaft, dass sie vollständig umgangen werden kann.
Wenn der Benutzer zunächst aufgefordert wird, ein Kennwort einzugeben, und dann auf einer separaten Seite zur Eingabe eines Verifizierungscodes aufgefordert wird, befindet sich der Benutzer effektiv in einem „eingeloggten“ Zustand, bevor er den Verifizierungscode eingegeben hat. In diesem Fall lohnt es sich, zu testen, ob Sie nach Abschluss des ersten Authentifizierungsschritts direkt zu „nur angemeldeten“ Seiten springen können. Gelegentlich werden Sie feststellen, dass eine Website vor dem Laden der Seite nicht überprüft, ob Sie den zweiten Schritt abgeschlossen haben oder nicht.
Zwei-Faktor-Authentifizierungs-Token
Die Verifizierungscodes werden in der Regel vom Benutzer von einem physischen Gerät gelesen. Viele hochsichere Websites stellen ihren Nutzern ein spezielles Gerät für diesen Zweck zur Verfügung, wie z. B. das RSA-Token oder das Tastaturgerät, das Sie vielleicht für den Zugriff auf Ihr Online-Banking oder Ihren Arbeitslaptop verwenden. Diese speziellen Geräte dienen nicht nur der Sicherheit, sondern haben auch den Vorteil, dass sie den Verifizierungscode direkt erzeugen. Es ist auch üblich, dass Websites aus demselben Grund eine spezielle mobile Anwendung wie Google Authenticator verwenden.
Andererseits senden einige Websites Verifizierungscodes als Textnachricht an das Mobiltelefon des Nutzers. Dies ist zwar technisch gesehen immer noch eine Verifizierung des Faktors „etwas, das man hat“, kann aber missbraucht werden. Erstens wird der Code per SMS übermittelt und nicht vom Gerät selbst generiert. Dies birgt die Gefahr, dass der Code abgefangen wird. Außerdem besteht die Gefahr des SIM-Swap, bei dem sich ein Angreifer in betrügerischer Absicht eine SIM-Karte mit der Telefonnummer des Opfers beschafft. Der Angreifer würde dann alle an das Opfer gesendeten SMS-Nachrichten erhalten, einschließlich derjenigen, die den Verifizierungscode enthält.