Fachartikel

Schwächen der Zwei- oder Mehrfaktor-Authentifizierung

IT-Security-Lösungen haben durchgängig einen gemeinsamen Nachteil: Die Anwender sind zusätzlich gefordert, um den höheren Sicherheitsanforderungen zu genügen. So auch bei der Zwei- oder Mehrfaktor Authentifizierung. Ihr Nutzen gegen digitale Angriffe und gegen die Folgen von Identitätsdiebstahl ist unbestritten. Und dennoch: Auch hier liegt der Teufel im Detail. Um welches Detail es sich hierbei konkret handelt und welche Lösungsansätze möglicherweise helfen können, schildert unser Beitrag.
Auch bei der Zwei-Faktor-Authentifizierung darf Sicherheit nicht zugunsten von Usability vernachlässigt werden.
Was bisher geschah…
Ist ein E-Mail-Konto einmal geknackt, ist es für den Dieb ein Leichtes, sich Zugang zu diesem und anderen Online-Diensten zu verschaffen, die die gestohlene Adresse als Authentifizierung verlangen. Er lässt sich einfach ein Neues an die gehackte E-Mail-Adresse zuschicken und verschafft sich so ohne viel Aufwand Zugang zu persönlichen, sensiblen Daten. Ein Hack der nicht nur für Privatpersonen sondern auch für Unternehmen zum kostspieligen Kontakt mit dem Thema Cyberkriminalität werden kann.

Abhilfe schafft hier die Zweifaktor-Authentifizierung: Sie schützt (Remote-) Anmeldungen durch insgesamt zwei Merkmale aus den Bereichen  "Wissen", "Haben" oder "Sein". Bei der Kombination aus "Wissen" und "Haben" fragt das System zusätzlich einmalig gültige Passwörter oder Passcodes, sogenannte One-Time Passcodes (OTP), ab. Herkömmliche Verfahren erzeugen den OTP auf einem Token oder senden diesen per SMS an das Mobiltelefon des Users. Eine Variante die bislang als relativ sicher eingestuft wurde. Und dennoch war es auch hier nur eine Frage der Zeit bis aus "unhackbar" ein "angreifbar" wurde.
Moderne Lösungen generieren den Passcode über eine App oder nutzen zusätzlich die biometrischen Funktionen moderner Smartphones und Tablets. Da diese Verfahren bewusst auf einem zweiten Device isoliert ablaufen, ist es für den Hacker schwierig bis unmöglich ohne Zugriff auf dieses Device die Anmeldung abzuschließen. Bei einer Zwei-Faktor-Authentifizierung kommt für den Angreifer erschwerend hinzu, dass der Passcode zusätzlich an die ursprüngliche Session gebunden ist. Auch wenn die Anmeldedaten mitgelesen werden, lässt sich der gehackte Passcode bei einer parallelen neuen Session nicht erfolgreich nutzen. Die Konsequenz: Eine Zwei-Faktor-Authentifizierung erschwert seine Arbeit erheblich und schreckt ihn möglicherweise ab.

Security vs. Usability
Immer häufiger kommen deshalb Zwei- oder Mehrfaktor-Authentifizierungen zum Einsatz. Viele Unternehmen schützen ihre sensiblen Daten, indem sie beispielsweise bei einem externen Zugang zu ihren IT-Systemen mehrfache oder zumindest zweifache Sicherheitsschranken implementieren. Die Nachteile liegen klar auf der Hand: Der Nutzer muss sich zum einen mit zwei oder mehreren Faktoren anmelden und im Falle einer Token-Verwendung ein zusätzliches Device mit sich führen. Hinzu kommt, dass bei einem Token-Verlust aufwändige Workarounds für temporäre Zugriffe nötig sind – auf der Usability-Skala ein klares Minus.

Um den Komfort für den Nutzer zu erhöhen, ohne das Sicherheitsniveau (vermeintlich) zu senken, greifen inzwischen einige Anbieter auf "adaptive" Mehrfaktor-Verfahren zurück. Ursprünglich sollten diese Anmeldeverfahren bei Bedarf zusätzliche Sicherheitshürden abfragen. Hierzu können harte Faktoren wie eine zusätzliche PIN oder auch weiche Faktoren wie das "normale" Anwenderverhalten verwendet werden. Die Gefahr liegt in der Auswahl der Faktoren, die darüber entscheiden, ob ein Nutzer allein durch die Eingabe von Name und Passwort Zugang erhält oder nicht.

Viele Anbieter erhöhen bei ihren adaptiven Zweifaktor-Lösungen die Usability, indem sie ein Downsizing bei der Sicherheit in Kauf nehmen. So nutzen Sie zum Beispiel die IP- beziehungsweise MAC-Adresse oder auch Standortinformationen, die der Nutzer automatisch übermittelt. Sind diese Faktoren mit bereits genutzten IP-Adressen, Geräten oder Standorten identisch, akzeptiert das Sicherheitssystem diese Parameter als zweiten Faktor und gibt den Zugang frei, ohne dass eine zweite Sicherheitsstufe zum Einsatz kommt. Für den Nutzer reduziert sich die Anmeldung somit auf die Eingabe des Namens und des Passworts. Dies bedeutet jedoch im Umkehrschluss: Usability schlägt Security.

Nur gesetzt den Fall, dass sich der Nutzer zum Beispiel an einem fremden Standort befindet, das System also eine unbekannte Geolocation erhält, setzt die zweite Sicherheitsstufe ein und verlangt nach einer Step-up-Authentifizierung. Jedoch kann dies im Zweifelsfall bereits zu spät sein.

Einfache Tools hebeln Sicherheitsschranken aus
Derartige Faktoren bieten somit eine trügerische Sicherheit und schwächen das Mehrfaktor-Verfahren, denn heutzutage bedarf es keines technischen Spezialwissens, um IP-Adressen, Länderkennungen oder GPS-Daten zu verschleiern oder zu manipulieren. Das Internet ist voll von einfachen Softwaretools, die beispielsweise auf Proxy-Server zugreifen können. Im Privatbereich werden solche Tools oftmals genutzt, um etwa das Geoblocking von Streaming-Diensten zu umgehen oder um anonym im Internet zu surfen.

Ein weiteres Problem kommt ebenfalls hinzu: Setzen Unternehmen im Rahmen der adaptiven Mehrfaktor-Authentifizierung auf solche unsichere Faktoren, geben sie auch immer ein Stück ihrer Kontrollmöglichkeiten freiwillig aus der Hand und begeben sich so in die Abhängigkeit externer Dienstleister. Außerdem kann es zu einer Verunsicherung des Nutzers kommen. Bewegt sich ein Nutzer zumeist in einer "trusted Zone", dann mag er eine plötzlich zugeschaltete Zwei-Faktor Authentifizierung während eines Ortswechsels ungewöhnlich und sogar verdächtig empfinden und daraufhin den Helpdesk bemühen oder den Vorgang unproduktiv abbrechen.

Usability und Komfort im Einklang
Es ist offensichtlich, dass die Abschaffung der zusätzlichen User-Interaktion bei einer Zwei-Faktor-Authentifizierung mit erheblichen Risiken belastet ist. Moderne IT-Lösungen gehen daher neue Wege und optimieren die Eingabe des zweiten Faktors. Sie basieren zum Beispiel auf dem sicheren NFC-Standard, der bereits häufig bei Payment-Funktionen zum Einsatz kommt, sodass die User-Interaktion nicht nur auf ein Minimum reduziert, sondern auch die Eingabe eines Passcodes obsolet wird. Eine weitere Möglichkeit für eine echte Mehrfaktor-Authentifizierung ist ebenfalls der Nutzung von Biometrie-Funktionen moderner Mobilgeräte oder das sichere Pairing von Geräten als Faktor "Haben" unter definierten Voraussetzungen. Hier lässt sich die Anmeldung auch per Push-Funktion am gepairten Gerät bestätigen, was zusätzlich sicherstellt, dass Anwender und Anmelde-Device sich beispielsweise im gleichen Piconet befinden.

Moderne Lösungen wie beispielsweise SecurAccess setzen auf derartige und neue adaptive Mehrfaktor-Verfahren. Neben SMS, E-Mail und Voice-Call liefert diese Lösung eine Soft-Token-App für iOS, Android und BlackBerry, Foto-Passcode über QR-Codes und einen Self-Service Helpdesk mit dem jeder Anwender situativ das jeweils beste – vom Unternehmen frei gegebene Verfahren – auswählen kann.

Fazit
Nur weil Anwender sich in bestimmten Geolokationen aufhalten oder vorgegebene Anmeldesysteme nutzen, darf eine wirklich sichere Zwei-Faktor Authentifizierung nicht selbständig um einen Faktor herunterschalten. Auch darf die Überprüfung des Anwenderverhaltens oder der Sicherheitsstufe  nicht externen Dienstleistern wie beispielsweise Providern übertragen werden. Komfortable aber trotzdem sichere Verfahren sind auch bei der Mehr-Faktor-Authentifizierung wünschenswert und mit neuen Technologien und Devices umsetzbar. Auf diese Weise bleibt der hohe Sicherheitsstandard einer Zwei- oder Mehrfaktor-Authentifizierung erhalten, ohne dass der Nutzerkomfort leidet.
22.06.2016/ln/Robert Korherr, Geschäftsleitung bei der ProSoft GmbH

Nachrichten

Ähnlichkeiten zwischen Sunburst und Kazuar-Backdoor [11.01.2021]

Experten von Kaspersky haben spezifische Code-Ähnlichkeiten zwischen Sunburst und bekannten Versionen der Kazuar-Backdoor gefunden. Diese Art von Malware ermöglicht einen Fernzugriff auf den Computer eines Opfers. Die Erkenntnisse könnten Sicherheitsforscher bei ihren Analysen des Angriffs weiterbringen. [mehr]

Blick auf 20 Jahre Cyberbedrohungen [5.01.2021]

Der Jahreswechsel ist ein guter Zeitpunkt, um die aktuelle Bedrohungslandschaft zu betrachten und Prognosen zu wagen, wohin sie sich entwickeln könnte. Der Report "Cyberthreats: A 20-Year Retrospective" von Sophos hingegen gibt einen Überblick über die Cyberbedrohungen und Ereignisse, die in den vergangenen 20 Jahren den größten Einfluss auf die Sicherheitslandschaft hatten. [mehr]

Vier-Augen-Prinzip [22.12.2020]

Tipps & Tools

Vorschau Februar 2021: Sichere Virtualisierung [18.01.2021]

Virtualisierung sorgt für deutlich mehr Flexibilität in der IT. Doch wollen auch virtuelle Umgebungen richtig abgesichert sein. Im Februar beleuchtet IT-Administrator den Themenschwerpunkt "Sichere Virtualisierung". Darin erfahren Sie, auf welchen Wegen Sie Ihre Hyper-V-Umgebung schützen und Backups ihrer virtuellen Umgebungen erstellen. Außerdem lesen Sie im Februar, was die Cybersicherheitsagentur ENISA in Sachen sichere Virtualisierung vorgibt und wie Sie Befehle in Kubernetes mit StatusBay analysieren, bevor diese zur Anwendung kommen. In den Tests werfen wir unter anderem einen Blick auf die Veeam Availability Suite. [mehr]

Ein frohes Neues! [1.01.2021]

"Liegt das neue Jahr vor dir und das alte hinter dir, lass das alte liegen und hebe das neue auf." Dieses Sprichwort bringt es ganz gut auf den Punkt. 2020 war kein leichtes Jahr, liegt aber hinter uns und wir können mit guten Vorsätzen und Zuversicht ins neue Jahr starten. Wir hoffen, dass Sie trotz der aktuellen Umstände eine frohe Weihnachtszeit hatten und drücken die Daumen für 2021. Damit Sie auch in diesem Jahr ausreichend mit Lesestoff versorgt sind, sollten Sie einen Blick auf unser Sonderheft "VMware vSpehere 7 – Server, Netze und Storage virtualisieren" werfen. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen