Schwächen der Zwei- oder Mehrfaktor-Authentifizierung

Lesezeit
4 Minuten
Bis jetzt gelesen

Schwächen der Zwei- oder Mehrfaktor-Authentifizierung

22.06.2016 - 14:00
Veröffentlicht in:
IT-Security-Lösungen haben durchgängig einen gemeinsamen Nachteil: Die Anwender sind zusätzlich gefordert, um den höheren Sicherheitsanforderungen zu genügen. So auch bei der Zwei- oder Mehrfaktor Authentifizierung. Ihr Nutzen gegen digitale Angriffe und gegen die Folgen von Identitätsdiebstahl ist unbestritten. Und dennoch: Auch hier liegt der Teufel im Detail. Um welches Detail es sich hierbei konkret handelt und welche Lösungsansätze möglicherweise helfen können, schildert unser Beitrag.
Was bisher geschah…
Ist ein E-Mail-Konto einmal geknackt, ist es für den Dieb ein Leichtes, sich Zugang zu diesem und anderen Online-Diensten zu verschaffen, die die gestohlene Adresse als Authentifizierung verlangen. Er lässt sich einfach ein Neues an die gehackte E-Mail-Adresse zuschicken und verschafft sich so ohne viel Aufwand Zugang zu persönlichen, sensiblen Daten. Ein Hack der nicht nur für Privatpersonen sondern auch für Unternehmen zum kostspieligen Kontakt mit dem Thema Cyberkriminalität werden kann.

Abhilfe schafft hier die Zweifaktor-Authentifizierung: Sie schützt (Remote-) Anmeldungen durch insgesamt zwei Merkmale aus den Bereichen  "Wissen", "Haben" oder "Sein". Bei der Kombination aus "Wissen" und "Haben" fragt das System zusätzlich einmalig gültige Passwörter oder Passcodes, sogenannte One-Time Passcodes (OTP), ab. Herkömmliche Verfahren erzeugen den OTP auf einem Token oder senden diesen per SMS an das Mobiltelefon des Users. Eine Variante die bislang als relativ sicher eingestuft wurde. Und dennoch war es auch hier nur eine Frage der Zeit bis aus "unhackbar" ein "angreifbar" wurde.


Moderne Lösungen generieren den Passcode über eine App oder nutzen zusätzlich die biometrischen Funktionen moderner Smartphones und Tablets. Da diese Verfahren bewusst auf einem zweiten Device isoliert ablaufen, ist es für den Hacker schwierig bis unmöglich ohne Zugriff auf dieses Device die Anmeldung abzuschließen. Bei einer Zwei-Faktor-Authentifizierung kommt für den Angreifer erschwerend hinzu, dass der Passcode zusätzlich an die ursprüngliche Session gebunden ist. Auch wenn die Anmeldedaten mitgelesen werden, lässt sich der gehackte Passcode bei einer parallelen neuen Session nicht erfolgreich nutzen. Die Konsequenz: Eine Zwei-Faktor-Authentifizierung erschwert seine Arbeit erheblich und schreckt ihn möglicherweise ab.

Security vs. Usability
Immer häufiger kommen deshalb Zwei- oder Mehrfaktor-Authentifizierungen zum Einsatz. Viele Unternehmen schützen ihre sensiblen Daten, indem sie beispielsweise bei einem externen Zugang zu ihren IT-Systemen mehrfache oder zumindest zweifache Sicherheitsschranken implementieren. Die Nachteile liegen klar auf der Hand: Der Nutzer muss sich zum einen mit zwei oder mehreren Faktoren anmelden und im Falle einer Token-Verwendung ein zusätzliches Device mit sich führen. Hinzu kommt, dass bei einem Token-Verlust aufwändige Workarounds für temporäre Zugriffe nötig sind – auf der Usability-Skala ein klares Minus.

Um den Komfort für den Nutzer zu erhöhen, ohne das Sicherheitsniveau (vermeintlich) zu senken, greifen inzwischen einige Anbieter auf "adaptive" Mehrfaktor-Verfahren zurück. Ursprünglich sollten diese Anmeldeverfahren bei Bedarf zusätzliche Sicherheitshürden abfragen. Hierzu können harte Faktoren wie eine zusätzliche PIN oder auch weiche Faktoren wie das "normale" Anwenderverhalten verwendet werden. Die Gefahr liegt in der Auswahl der Faktoren, die darüber entscheiden, ob ein Nutzer allein durch die Eingabe von Name und Passwort Zugang erhält oder nicht.

Viele Anbieter erhöhen bei ihren adaptiven Zweifaktor-Lösungen die Usability, indem sie ein Downsizing bei der Sicherheit in Kauf nehmen. So nutzen Sie zum Beispiel die IP- beziehungsweise MAC-Adresse oder auch Standortinformationen, die der Nutzer automatisch übermittelt. Sind diese Faktoren mit bereits genutzten IP-Adressen, Geräten oder Standorten identisch, akzeptiert das Sicherheitssystem diese Parameter als zweiten Faktor und gibt den Zugang frei, ohne dass eine zweite Sicherheitsstufe zum Einsatz kommt. Für den Nutzer reduziert sich die Anmeldung somit auf die Eingabe des Namens und des Passworts. Dies bedeutet jedoch im Umkehrschluss: Usability schlägt Security.

Nur gesetzt den Fall, dass sich der Nutzer zum Beispiel an einem fremden Standort befindet, das System also eine unbekannte Geolocation erhält, setzt die zweite Sicherheitsstufe ein und verlangt nach einer Step-up-Authentifizierung. Jedoch kann dies im Zweifelsfall bereits zu spät sein.

Einfache Tools hebeln Sicherheitsschranken aus
Derartige Faktoren bieten somit eine trügerische Sicherheit und schwächen das Mehrfaktor-Verfahren, denn heutzutage bedarf es keines technischen Spezialwissens, um IP-Adressen, Länderkennungen oder GPS-Daten zu verschleiern oder zu manipulieren. Das Internet ist voll von einfachen Softwaretools, die beispielsweise auf Proxy-Server zugreifen können. Im Privatbereich werden solche Tools oftmals genutzt, um etwa das Geoblocking von Streaming-Diensten zu umgehen oder um anonym im Internet zu surfen.

Ein weiteres Problem kommt ebenfalls hinzu: Setzen Unternehmen im Rahmen der adaptiven Mehrfaktor-Authentifizierung auf solche unsichere Faktoren, geben sie auch immer ein Stück ihrer Kontrollmöglichkeiten freiwillig aus der Hand und begeben sich so in die Abhängigkeit externer Dienstleister. Außerdem kann es zu einer Verunsicherung des Nutzers kommen. Bewegt sich ein Nutzer zumeist in einer "trusted Zone", dann mag er eine plötzlich zugeschaltete Zwei-Faktor Authentifizierung während eines Ortswechsels ungewöhnlich und sogar verdächtig empfinden und daraufhin den Helpdesk bemühen oder den Vorgang unproduktiv abbrechen.

Usability und Komfort im Einklang
Es ist offensichtlich, dass die Abschaffung der zusätzlichen User-Interaktion bei einer Zwei-Faktor-Authentifizierung mit erheblichen Risiken belastet ist. Moderne IT-Lösungen gehen daher neue Wege und optimieren die Eingabe des zweiten Faktors. Sie basieren zum Beispiel auf dem sicheren NFC-Standard, der bereits häufig bei Payment-Funktionen zum Einsatz kommt, sodass die User-Interaktion nicht nur auf ein Minimum reduziert, sondern auch die Eingabe eines Passcodes obsolet wird. Eine weitere Möglichkeit für eine echte Mehrfaktor-Authentifizierung ist ebenfalls der Nutzung von Biometrie-Funktionen moderner Mobilgeräte oder das sichere Pairing von Geräten als Faktor "Haben" unter definierten Voraussetzungen. Hier lässt sich die Anmeldung auch per Push-Funktion am gepairten Gerät bestätigen, was zusätzlich sicherstellt, dass Anwender und Anmelde-Device sich beispielsweise im gleichen Piconet befinden.

Moderne Lösungen wie beispielsweise SecurAccess setzen auf derartige und neue adaptive Mehrfaktor-Verfahren. Neben SMS, E-Mail und Voice-Call liefert diese Lösung eine Soft-Token-App für iOS, Android und BlackBerry, Foto-Passcode über QR-Codes und einen Self-Service Helpdesk mit dem jeder Anwender situativ das jeweils beste – vom Unternehmen frei gegebene Verfahren – auswählen kann.

Fazit
Nur weil Anwender sich in bestimmten Geolokationen aufhalten oder vorgegebene Anmeldesysteme nutzen, darf eine wirklich sichere Zwei-Faktor Authentifizierung nicht selbständig um einen Faktor herunterschalten. Auch darf die Überprüfung des Anwenderverhaltens oder der Sicherheitsstufe  nicht externen Dienstleistern wie beispielsweise Providern übertragen werden. Komfortable aber trotzdem sichere Verfahren sind auch bei der Mehr-Faktor-Authentifizierung wünschenswert und mit neuen Technologien und Devices umsetzbar. Auf diese Weise bleibt der hohe Sicherheitsstandard einer Zwei- oder Mehrfaktor-Authentifizierung erhalten, ohne dass der Nutzerkomfort leidet.

ln/Robert Korherr, Geschäftsleitung bei der ProSoft GmbH

Tags

Ähnliche Beiträge

Künstliche Intelligenz nutzen und datenschutzkonform agieren

Künstliche Intelligenz ist ein Meilenstein für die Technologiebranche, ihr volles Potenzial aber noch nicht ausgeschöpft. Es zeigt sich jedoch, dass KI-Anwendungen eine intensive Datennutzung und menschliches Eingreifen erfordern – nicht zuletzt um Datenschutz zu gewährleisten und mögliche neue Sicherheitsrisikien zu vermeiden. Organisationen müssen daher analysieren, wie sie KI in ihre Strategie zum Datenmanagement integrieren können.

Mehr Datensicherheit durch ganzheitliche Plattformen

Die Folgen von Cyberangriffen sind für Unternehmen verheerend. Dies gilt vor allem für Attacken auf hybride IT-Umgebungen, die Datenverluste auf mehreren Plattformen zur Folge haben. Deshalb lohnt es sich, auf ganzheitliche Werkzeuge für eine sichere Kommunikation und Datenübertragung zu setzen. Welchen maßgeblichen Beitrag Produktivitätsplattformen in den Bereichen Verwaltung, Kosteneffizienz und Reaktionsschnelligkeit leisten, erklärt unser Artikel.

Mit Mikrosegmentierung Sicherheitsrisiken minimieren

Netzwerksegmentierung dient der Abwehr von Schadsoftware, die sich nach der Infiltration des Netzwerks seitlich darin ausbreitet. Die Mikrosegmentierung untergliedert noch granularer, sodass zwischen einzelnen Unterbereichen des Netzwerks der Zugang beschränkt ist. Werden diese beiden Methoden miteinander kombiniert, lässt sich die Cybersicherheit eines Unternehmens merklich verbessern und Sicherheitsrisiken reduzieren.