Fachartikel

Schwächen der Zwei- oder Mehrfaktor-Authentifizierung

IT-Security-Lösungen haben durchgängig einen gemeinsamen Nachteil: Die Anwender sind zusätzlich gefordert, um den höheren Sicherheitsanforderungen zu genügen. So auch bei der Zwei- oder Mehrfaktor Authentifizierung. Ihr Nutzen gegen digitale Angriffe und gegen die Folgen von Identitätsdiebstahl ist unbestritten. Und dennoch: Auch hier liegt der Teufel im Detail. Um welches Detail es sich hierbei konkret handelt und welche Lösungsansätze möglicherweise helfen können, schildert unser Beitrag.
Auch bei der Zwei-Faktor-Authentifizierung darf Sicherheit nicht zugunsten von Usability vernachlässigt werden.
Was bisher geschah…
Ist ein E-Mail-Konto einmal geknackt, ist es für den Dieb ein Leichtes, sich Zugang zu diesem und anderen Online-Diensten zu verschaffen, die die gestohlene Adresse als Authentifizierung verlangen. Er lässt sich einfach ein Neues an die gehackte E-Mail-Adresse zuschicken und verschafft sich so ohne viel Aufwand Zugang zu persönlichen, sensiblen Daten. Ein Hack der nicht nur für Privatpersonen sondern auch für Unternehmen zum kostspieligen Kontakt mit dem Thema Cyberkriminalität werden kann.

Abhilfe schafft hier die Zweifaktor-Authentifizierung: Sie schützt (Remote-) Anmeldungen durch insgesamt zwei Merkmale aus den Bereichen  "Wissen", "Haben" oder "Sein". Bei der Kombination aus "Wissen" und "Haben" fragt das System zusätzlich einmalig gültige Passwörter oder Passcodes, sogenannte One-Time Passcodes (OTP), ab. Herkömmliche Verfahren erzeugen den OTP auf einem Token oder senden diesen per SMS an das Mobiltelefon des Users. Eine Variante die bislang als relativ sicher eingestuft wurde. Und dennoch war es auch hier nur eine Frage der Zeit bis aus "unhackbar" ein "angreifbar" wurde.
Moderne Lösungen generieren den Passcode über eine App oder nutzen zusätzlich die biometrischen Funktionen moderner Smartphones und Tablets. Da diese Verfahren bewusst auf einem zweiten Device isoliert ablaufen, ist es für den Hacker schwierig bis unmöglich ohne Zugriff auf dieses Device die Anmeldung abzuschließen. Bei einer Zwei-Faktor-Authentifizierung kommt für den Angreifer erschwerend hinzu, dass der Passcode zusätzlich an die ursprüngliche Session gebunden ist. Auch wenn die Anmeldedaten mitgelesen werden, lässt sich der gehackte Passcode bei einer parallelen neuen Session nicht erfolgreich nutzen. Die Konsequenz: Eine Zwei-Faktor-Authentifizierung erschwert seine Arbeit erheblich und schreckt ihn möglicherweise ab.

Security vs. Usability
Immer häufiger kommen deshalb Zwei- oder Mehrfaktor-Authentifizierungen zum Einsatz. Viele Unternehmen schützen ihre sensiblen Daten, indem sie beispielsweise bei einem externen Zugang zu ihren IT-Systemen mehrfache oder zumindest zweifache Sicherheitsschranken implementieren. Die Nachteile liegen klar auf der Hand: Der Nutzer muss sich zum einen mit zwei oder mehreren Faktoren anmelden und im Falle einer Token-Verwendung ein zusätzliches Device mit sich führen. Hinzu kommt, dass bei einem Token-Verlust aufwändige Workarounds für temporäre Zugriffe nötig sind – auf der Usability-Skala ein klares Minus.

Um den Komfort für den Nutzer zu erhöhen, ohne das Sicherheitsniveau (vermeintlich) zu senken, greifen inzwischen einige Anbieter auf "adaptive" Mehrfaktor-Verfahren zurück. Ursprünglich sollten diese Anmeldeverfahren bei Bedarf zusätzliche Sicherheitshürden abfragen. Hierzu können harte Faktoren wie eine zusätzliche PIN oder auch weiche Faktoren wie das "normale" Anwenderverhalten verwendet werden. Die Gefahr liegt in der Auswahl der Faktoren, die darüber entscheiden, ob ein Nutzer allein durch die Eingabe von Name und Passwort Zugang erhält oder nicht.

Viele Anbieter erhöhen bei ihren adaptiven Zweifaktor-Lösungen die Usability, indem sie ein Downsizing bei der Sicherheit in Kauf nehmen. So nutzen Sie zum Beispiel die IP- beziehungsweise MAC-Adresse oder auch Standortinformationen, die der Nutzer automatisch übermittelt. Sind diese Faktoren mit bereits genutzten IP-Adressen, Geräten oder Standorten identisch, akzeptiert das Sicherheitssystem diese Parameter als zweiten Faktor und gibt den Zugang frei, ohne dass eine zweite Sicherheitsstufe zum Einsatz kommt. Für den Nutzer reduziert sich die Anmeldung somit auf die Eingabe des Namens und des Passworts. Dies bedeutet jedoch im Umkehrschluss: Usability schlägt Security.

Nur gesetzt den Fall, dass sich der Nutzer zum Beispiel an einem fremden Standort befindet, das System also eine unbekannte Geolocation erhält, setzt die zweite Sicherheitsstufe ein und verlangt nach einer Step-up-Authentifizierung. Jedoch kann dies im Zweifelsfall bereits zu spät sein.

Einfache Tools hebeln Sicherheitsschranken aus
Derartige Faktoren bieten somit eine trügerische Sicherheit und schwächen das Mehrfaktor-Verfahren, denn heutzutage bedarf es keines technischen Spezialwissens, um IP-Adressen, Länderkennungen oder GPS-Daten zu verschleiern oder zu manipulieren. Das Internet ist voll von einfachen Softwaretools, die beispielsweise auf Proxy-Server zugreifen können. Im Privatbereich werden solche Tools oftmals genutzt, um etwa das Geoblocking von Streaming-Diensten zu umgehen oder um anonym im Internet zu surfen.

Ein weiteres Problem kommt ebenfalls hinzu: Setzen Unternehmen im Rahmen der adaptiven Mehrfaktor-Authentifizierung auf solche unsichere Faktoren, geben sie auch immer ein Stück ihrer Kontrollmöglichkeiten freiwillig aus der Hand und begeben sich so in die Abhängigkeit externer Dienstleister. Außerdem kann es zu einer Verunsicherung des Nutzers kommen. Bewegt sich ein Nutzer zumeist in einer "trusted Zone", dann mag er eine plötzlich zugeschaltete Zwei-Faktor Authentifizierung während eines Ortswechsels ungewöhnlich und sogar verdächtig empfinden und daraufhin den Helpdesk bemühen oder den Vorgang unproduktiv abbrechen.

Usability und Komfort im Einklang
Es ist offensichtlich, dass die Abschaffung der zusätzlichen User-Interaktion bei einer Zwei-Faktor-Authentifizierung mit erheblichen Risiken belastet ist. Moderne IT-Lösungen gehen daher neue Wege und optimieren die Eingabe des zweiten Faktors. Sie basieren zum Beispiel auf dem sicheren NFC-Standard, der bereits häufig bei Payment-Funktionen zum Einsatz kommt, sodass die User-Interaktion nicht nur auf ein Minimum reduziert, sondern auch die Eingabe eines Passcodes obsolet wird. Eine weitere Möglichkeit für eine echte Mehrfaktor-Authentifizierung ist ebenfalls der Nutzung von Biometrie-Funktionen moderner Mobilgeräte oder das sichere Pairing von Geräten als Faktor "Haben" unter definierten Voraussetzungen. Hier lässt sich die Anmeldung auch per Push-Funktion am gepairten Gerät bestätigen, was zusätzlich sicherstellt, dass Anwender und Anmelde-Device sich beispielsweise im gleichen Piconet befinden.

Moderne Lösungen wie beispielsweise SecurAccess setzen auf derartige und neue adaptive Mehrfaktor-Verfahren. Neben SMS, E-Mail und Voice-Call liefert diese Lösung eine Soft-Token-App für iOS, Android und BlackBerry, Foto-Passcode über QR-Codes und einen Self-Service Helpdesk mit dem jeder Anwender situativ das jeweils beste – vom Unternehmen frei gegebene Verfahren – auswählen kann.

Fazit
Nur weil Anwender sich in bestimmten Geolokationen aufhalten oder vorgegebene Anmeldesysteme nutzen, darf eine wirklich sichere Zwei-Faktor Authentifizierung nicht selbständig um einen Faktor herunterschalten. Auch darf die Überprüfung des Anwenderverhaltens oder der Sicherheitsstufe  nicht externen Dienstleistern wie beispielsweise Providern übertragen werden. Komfortable aber trotzdem sichere Verfahren sind auch bei der Mehr-Faktor-Authentifizierung wünschenswert und mit neuen Technologien und Devices umsetzbar. Auf diese Weise bleibt der hohe Sicherheitsstandard einer Zwei- oder Mehrfaktor-Authentifizierung erhalten, ohne dass der Nutzerkomfort leidet.
22.06.2016/ln/Robert Korherr, Geschäftsleitung bei der ProSoft GmbH

Nachrichten

Machine Learning für mehr Datensicherheit [24.09.2021]

Die Erfahrungen der vergangenen zwei Jahre sind eindeutig: Einen Ransomware-Angriff zu verhindern ist schwierig. Manche Experten sagen sogar, dass es selbst mit der neuesten Technologie und einem soliden, umfassenden Verteidigungsansatz nahezu unmöglich ist. Wenn es also keinen todsicheren Weg gibt, einen Angriff zu verhindern, ist die Wiederherstellung die nächstbeste Option. Bei einem Wiederherstellungsplan für Ransomware gibt es jedoch viele Entscheidungen und Nuancen. [mehr]

Automatisierte Cybersicherheit [23.09.2021]

LogPoint hat die angekündigte Übernahme des Unternehmens SecBI mit Sitz in Tel Aviv abgeschlossen. Die SOAR- und XDR-Plattform von SecBI soll nun nativ in LogPoint integriert werden, um so eine integrierte, grundlegende Security--Operations-Plattform zu schaffen. LogPoint SOAR soll zusammen mit LogPoint 7.0 im Dezember 2021 veröffentlicht werden, XDR folge Mitte 2022. [mehr]

Sicher aus der Ferne [20.09.2021]

Tipps & Tools

Studie: Über drei Viertel weltweiter Unternehmen nutzen Multicloud [17.08.2021]

Laut einer Umfrage von US-Anbieter Hashicorp setzen 76 Prozent der befragten, weltweit verteilten Unternehmen auf die Multicloud. Nähmen die Firmen nicht auch Hindernisse auf ihrem Weg in die Wolke wahr wie Kostenüberlegungen, Sicherheitsbedenken und Know-how-Mangel, wäre der Cloudanteil noch größer. [mehr]

Im Test: Red Hat OpenShift 4.7 [1.07.2021]

Leicht, effizient und komfortabel sollen IT-Verantwortliche dank OpenShift 4.7 von Red Hat in den Genuss von Container-Orchestrierung mit Kubernetes kommen. Ob dies gelingt, entscheidet sich in der Praxis an Punkten wie Betrieb, Wartung und Sicherheit sowie den vorhandenen Kubernetes-Funktionen. Im Test bewährte sich OpenShift 4.7 zwar sehr gut, gleichzeitig brachten Abweichungen von Red Hats Vorgaben jedoch Probleme mit sich. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen