Viele Zwei Faktor Authentifizierungsmethoden weisen Schwachstellen auf

die Angreifer ausnutzen können, und bereiten Schwierigkeiten bei der Benutzung. Das Wissen darüber, was die Methoden voneinander unterscheidet, hilft Ihnen, diesen Problemen aus dem Weg zu gehen.

Nach den kürzlich bekannt gewordenen schwerwiegenden Vorfällen wie dem Angriff russischer Hacker auf Target, der ihnen über 1,2 Millionen Zugangsdaten eingebracht hat, und der Attacke auf persönliche Fotos Prominenter haben  IT-Sicherheitsexperten an Nutzer appelliert, eine Zwei Faktor Authentifizierung für bekannte Onlinedienste zum Schutz ihrer Nutzerkonten anzuwenden.

Das heißt aber auch, dass Entwickler sicher stellen müssen, dass sie dieselbe Sicherheit für ihre Dienste anbieten, und Leiter von Technologieabteilungen, IT-Manager und andere IT-Sicherheitsexperten eine Zwei Faktor Authentifizierung integrieren und ermöglichen müssen, um die Nutzerkonten ihrer Unternehmensnetzwerke, -webseiten und -Apps abzusichern.

Lediglich eine Kombination bestehend aus Benutzernamen und Passwort als Schutz für die Anmeldung zu verwenden, ist nicht länger eine sichere Methode, um Nutzerkonten ausreichend abzusichern und unerlaubten Zugriff durch mögliche Angreifer zu verhindern. Brute Force-Angriffe, Phishing und Schadprogramme können diese überholte Anmeldemethode problemlos überlisten. Eine Zwei Faktor Authentifizierung stellt hingegen eine zusätzliche Zugangsabsicherung dar, bei der der Nutzer aufgefordert wird, seine Identität mithilfe einer Methode nachzuweisen, auf die Angreifer normalerweise nicht zugreifen können.

Die bekannteste Methode wird von namhaften Größen in der Technologiebranche benutzt, darunter Google, Apple, Facebook und Twitter. Sie beruht auf dem Zugriff des Nutzers auf sein bzw. ihr smartphone / Mobilgerät und nutzt SMS-Textcodes oder Einmalcodes, um die Zugangsberechtigung zu überprüfen.

Die Zwei Faktor Authentifizierung mit SMS Codes ist sicherer als herkömmliche Anmeldemethoden, aber zeitgleich auch mühseliger.

Bei der Methode, die auf SMS-Textcodes oder Einmalcodes für die Zwei Faktor Authentifizierung setzt, meldet sich der Nutzer mit Nutzernamen und Passwort an. Der Dienst sendet dann eine Textnachricht mit einem Code oder Passwort an das Mobiltelefon des Nutzers, und dieser muss dann die Information in der Anmeldemaske eingeben, um die Überprüfung abzuschließen.

Es ist anzunehmen, dass nur jemand, der den Benutzernamen und das Passwort kennt sowie im Besitz des Mobilgeräts des rechtmäßigen Nutzers ist, diesen zweiten Schritt zum Berechtigungsnachweis ausführen kann. Das wiederum hilft dabei, Brute Force-Angriffe gegen den Anmeldeserver zu verhindern.

Eine Zwei Faktor Authentifizierung mit SMS-Codes ist nicht sicher.

Trotz der Tatsache, dass Sicherheitsexperten Nutzer und Entwickler ermutigt haben, diese Methode zu verwenden, so bleibt sie doch hochgradig verwundbar gegenüber Angriffen.

Bei den jüngsten Vorkommnissen, die eine große Beachtung durch die Medien erfahren haben, wurde diese Methode bei Angriffen auf bekannte Onlinedienste ausgenutzt, inklusive den Online Banking Angeboten Schweizer Banken, die dafür bekannt sind, über beste Schutzmaßnahmen zur Onlinesicherheit zu verfügen.

Das größte Problem mit dieser und vielen anderen Zwei Faktor Authentifizierungsmethoden ist, dass sie alle immer noch die Eingabe von Passwort und Benutzernamen während des Anmeldevorgangs erfordern. Sie lösen also nicht das Kernproblem in der Internetsicherheit, nämlich  die Verwendung von Passwörtern, und ebenso wenig beseitigen sie das Hauptmotiv von Internetkriminellen:  Den Diebstahl von Zugangsdaten wie Passwörtern, um sie im Anschluss dafür zu verwenden, um auf vertrauliche Informationen zuzugreifen und Server und Netzwerke zu kompromittieren.

Jeder Internetservice, der weiter auf vertrauliche Zugangsdaten wie Passwörter als ersten Faktor in der Zwei Stufen Authentifzierung setzt, wird auch in Zukunft im Visier von Angreifern stehen, die es auf seine Nutzer und Server abgesehen haben. 

Schadprogramme können ohne große Schwierigkeiten über Zwei Faktor Authentifzierungen basierend auf SMS oder OTP triumphieren.

Wie bei einem solchen Anreiz, nämlich an wertvolle Zugangsdaten zu gelangen, vorherzusehen war, gibt es bereits eine ganze Bandbreite von Vorgehensweisen, die Angreifer nutzen, um diese Art der Zwei Faktor Authentifizierung auszuhebeln. Die einfachste Bedrohung stellt Malware dar. Durch den Gebrauch von Software, die Nutzer unwissentlich auf ihre Computer durch Download von infizierten Dateien und das Anklicken tückischer Links befördern, können Angreifer einfach alle Eingaben eines Nutzers auf der Tastatur / in den Webbrowser aufzeichnen, um Anmeldedaten zu stehlen. Das gilt ebenfalls für jegliche SMS-Codes oder Einmalcodes, die für den Identitätsnachweis eingegeben wurden.

Man-in-the-middle Angriffe sind eine gleichfalls hocheffektive Methode, um eine auf SMS oder OTP basierende Zwei Faktor Authentifizierung zu überwinden.

“Man-in-the-middle” Angriffe sind eine Abwandlung von Ansätzen einfacher Schadprogramme. Diese Angriffe benutzen Schadprogramme, um Nutzer dazu zu bringen, auf eine gefälschte Webseite zu gehen, die in ihrem Erscheinungsbild quasi identisch mit der wirklichen Webseite ist, die der Nutzer eigentlich besuchen wollte. Der Nutzer gibt unwissentlich Benutzernamen und Passwort auf der falschen Webseite ein. Diese verbindet sich nun mit der echten Webseite und schickt dieser die Zugangsdaten. Die echte Webseite sendet dem Nutzer eine Textbotschaft mit dem erforderlichen Nachweiscode oder -passwort, und der Nutzer gibt diese Information nun – ohne es zu ahnen – in die Anmeldemaske der gefälschten Webseite ein. Der Angreifer leitet den Nutzer an die echte Webseite weiter, für den alles weiterhin völlig normal erscheint, aber der Angreifer ist jetzt im Besitz der Zugangsdaten des Nutzers und hat somit vollen Zugriff auf das Nutzerkonto.

Die Schwächen von SIM-Karten bieten Angreifern diverse Möglichkeiten, an die SMS- oder OTP-Codes und Tokens zu gelangen.

Eine weitere Angriffstaktik ist die Portierung von Nummern. Hier überlistet der Angreifer den Mobilfunkanbieter des Nutzers und bringt ihn dazu, ihm die Telefonnummer des Nutzers an ein neues Konto, das von dem Angreifer kontrolliert wird, zu senden. Als Alternative könnte der Angreifer auf das Konto des Nutzers beim Mobilfunkanbieter zugreifen und eine zweite SIM-Karte bestellen, die dann der Angreifer erhält und auf seinem Mobilgerät installiert. Mithilfe von beiden Methoden kann der Angreifer nun jede SMS-Mitteilung, die an den Nutzer geht, abfangen und sie dazu benutzen, um sich gegenüber jedem Konto des Nutzers zu authentifizieren, das diese Art der Zwei Faktor Authentifizierung benutzt.

Hinter diesen Vorgehensweisen steht die Aussicht auf das Klonen von SIM-Karten, wobei Angreifer vielleicht Schwachstellen in der Verschlüsselung und der Software zu ihrem Vorteil nützen könnten. Somit könnten Angreifer aus der Ferne Kontrolle über eine SIM-Karte erlangen und diese sogar klonen, um damit auf SMS-Textmitteilungen zugreifen zu können oder einfach Kopien davon zu erhalten.

Nicht zuletzt sei als weitere Bedrohung für SMS basierte Zwei Faktor Authentifizierungen der Trojaner genannt, der dafür entworfen wurde, auf Mobilgeräte wie Android-Smartphones abzuzielen. Indem sie sich als Sicherheitszertifikat maskieren, sind Trojaner in der Lage, eingehende Textnachrichten abzufangen und weiterzuleiten. Somit haben Angreifer noch ein weiteres Mittel, um Überprüfungscodes abzufangen und sie für unerlaubten Zugang zu Nutzerkonten zu verwenden.

Hardware-Tokens und QR-Codes begegnen zwar den Schwächen von SMS-Codes, sind aber eine zusätzliche Last für die Nutzer.

Zur Vermeidung von SMS-Schwachstellen in der Zwei Faktor Authentifizierung haben sich Entwickler für Hardware-Tokens oder QR-Codes entschieden, um mit ihnen die Identität des Nutzers zu überprüfen, ohne sich dabei auf SMS-Botschaften verlassen zu müssen.

Im Fall von Hardware-Tokens muss der Nutzer einen Token, der normalerweise mit einem Computer über einen USB-Anschluss verbunden wird, bei sich führen. Ein Nutzer benötigt für die Anmeldung bei einem geschützten Service neben Benutzernamen und Passwort hier zusätzlich die Verbindung eines USB-Tokens mit dem Computer, der für den Anmeldevorgang genutzt wird.

Diese Methode weist ihre ganz eigenen potentiellen Schwachstellen auf. Dies wurde vor einigen Jahren offenkundig, als RSA Security, eine Abteilung der EMC Corporation und Entwickler von Token-basierter Authentifzierung, gehackt wurde. RSA Security war gezwungen, mehr als 40 Millionen Hardware-Tokens auszutauschen, weil sie Opfer einer Phishing-Attacke und von Schadprogramme geworden ist. Dies ermöglichte Hackern den Zugriff auf sensible Firmeninformationen, und damit eventuell sogar auf deren Master Key und auf technische Einzelheiten bezüglich ihrer Sicherheitstechnologie.

Das vielleicht größte Problem für Zwei Faktor Authentifizierungen, die Hardware-Tokens verwenden, ist jedoch, dass sie nicht dafür verwendet werden können, den Nutzerzugang zu Onlinediensten über Smartphone oder Tablets abzusichern. Diese Geräte sind nicht mit USB-Ports ausgestattet, und so können nicht dieselben Sicherheitstokens mit ihnen genutzt werden. Das stellt ein Hauptproblem bei  der Benutzbarkeit dar und schränkt Anwendbarkeit und Wirksamkeit entsprechend ein.

Diese Herausforderung brachte einige Entwickler dazu, QR-Codes als Grundlage für die Überprüfung der Identität des Nutzers zu verwenden. Während des Anmeldevorgangs gibt der Nutzer zwar einen Benutzernamen, aber kein Passwort ein. Der Nutzer benötigt dann jedoch ein Mobilgerät, um den QR-Code zu scannen, der in dem Anmeldefenster angezeigt wird. Die QR-Scan-App auf dem Mobilgerät beinhaltet  einen nach dem Zufallsprinzip erstellten geheimen Code, der als eindeutiger Kennzeichner genutzt wird. Dieser Code oder private Schlüssel wird dazu verwendet, um den gescannten QR-Code zu signieren oder zu verschlüsseln. Wenn der Nutzer den QR-Code scannt, kann die App den Besitz des benötigten privaten Schlüssels und damit die Identität des Nutzers bestätigen.

Die QR-Code-Methode nutzt Public Key Kryptographie, die als idealer Ansatz für die Zwei Faktor Authentifizierung gilt, aber gleichzeitig  stellt die Methode durch das nötige erfolgreiche Scannen eines QR-Codes auch eine Belastung für den Nutzer dar, denn viele Nutzer haben damit Schwierigkeiten. Für sie kann dies zu einem zeitraubenden und frustrierenden Vorgang werden, der die Anmeldung verzögert. Das kann dann ebenfalls die Annahme dieser Methode durch Nutzer erschweren oder gleich ganz verhindern.

Die fehlende Benutzerfreundlichkeit war das größte Hindernis für die Akzeptanz von Zwei Faktor Authentifizierungen, obwohl das Plus an Sicherheit entscheidend für den Schutz der Nutzerkonten ist. Die zusätzlichen Schritte, die Zwei Faktor Authentifizierungen erfordern, gepaart mit den Problemen, die einige Nutzer mit Hardware-Tokens und QR-Codes erleben, sind genau der Grund, weswegen Technologieriesen wie Google und Microsoft die Zwei-Faktor-Authentifzierung ihren Nutzern nur als Wahlmöglichkeit anbieten. Selbst, wenn sie angewendet wird, fordern die meisten Dienste sie nur, wenn ein Nutzer sich von einem neuen Gerät aus anmeldet. Das bedeutet, dass ansonsten kein zusätzlicher Schritt zur Überprüfung benutzt wird und die Nutzerkonten somit angreifbar bleiben. Ebenso bedeutet dies, dass diese Dienste das Nutzerverhalten und die verwendete Hardware beobachten, was einige Nutzer ebenfalls beunruhigen dürfte.

Eine Methode beseitigt alle Sicherheitsschwächen und Probleme bei der Bedienbarkeit.

Mit all den erwähnten Problemen im Hinterkopf fragen sich Entwickler vielleicht, ob eine wirklich sichere Zwei Faktor Authentifizierungsmethode überhaupt existiert, und ob irgendeine Methode angewendet werden kann, ohne eine zusätzliche Last für den Nutzer darzustellen. Gleichzeitig sollte eine sichere Methode natürlich nicht nur gelegentlich eingesetzt werden, sondern einen Schutz für JEDE Anmeldung bieten.

Erfreulicherweise gibt es eine einfache, aber sehr sichere Lösung, die eine mobile Überprüfung ohne SMS-Codes, Hardware-Tokens oder QR-Codes nutzt. Ihre hochmoderne Krytographie und ihr Anmeldeverfahren stellt eine entscheidende Vereinfachung von Zwei Faktor Authentifizierungen dar und erlaubt es Nutzern, innerhalb von Sekunden ihre Identität nachzuweisen und sich bei Diensten sicher anzumelden.

SecSign Technologies hat mit der SecSign ID eine bemerkenswerte Alternative zu anderen Zwei Faktor Authentifzierungen auf den Markt gebracht. Die mobile Authentifizierung über die SecSign ID verwendet eine Public Key Kryptographie, die auf demselben Prinzip von Wissen und Besitz beruht wie die Sicherheit in der Smartcard technologie. Die SecSign ID beruht auf drei Kernelementen:

• Ein 2048-Bit langer privater Schlüssel wird verschlüsselt und auf dem Mobilgerät des Nutzers sicher gespeichert. Der private Schlüssel wird durch einen patentierten SafeKey-Mechanismus geschützt, der Brute Force-Angriffe selbst dann verhindert, wenn das Mobilgerät des Nutzers verloren gegangen ist oder gestohlen wurde.
• Ein öffentlicher 2048-Bit Schlüssel wird auf dem replizierten SecSign Trust Center Server sicher gespeichert. Die Anwendung kann sowohl in der Cloud als auch als eigener Authentifizierungsserver betrieben werden, und das innerhalb Ihrer eigenen Architektur und mit demselben hohen Maß an Sicherheit.
• Der physische und rechtmäßige Besitz des privaten Schlüssels wird durch eine von mehreren Nachweismöglichkeiten (PIN, Passcode, Fingerabdruck..) überprüft und bestätigt. Der private Schlüssel kann hierüber eine sogenannte Authentifizierungs-Challenge digital signieren. Diese Challenge wird vom Authentifizierungsserver erstellt und an das Mobilgerät gesandt. 

Eine einfache Anmeldelösung beseitigt die Verwendung von Passwörtern und anderen sensiblen Zugangsdaten. 

Anmelde- und Authentifierungsverfahren sind völlig unkompliziert. Innerhalb von Sekunden kann die Anmeldung auf einer Webseite oder einer mobilen App abgeschlossen werden. Die Authentifizierung erfolgt mithilfe der mobilen SecSign ID App.

Die Nutzer melden sich wie gewohnt über eine Webseite oder eine App an. Der Nutzer muss hier aber lediglich einen nicht vertraulichen Benutzernamen und kein Passwort mehr eingeben. Der Benutzername ist deswegen als eine nicht vertrauliche Information anzusehen, weil kein Grund besteht, ihn geheim zuhalten. Er kann nicht dazu genutzt werden, um Zugang auf das Konto zu erhalten oder an vertrauliche Informationen zu gelangen.

Sobald der Benutzername eingegeben wurde, kommuniziert der Web- oder der App-Server mit dem Authentifizierungsserver, der eine Challenge herausgibt, die dann vom privaten Schlüssel digital auf dem Mobilgerät des Nutzers signiert werden muss, was durch die kostenlose mobile SecSign ID App ermöglicht wird.

Es gibt vier mögliche Alternativen, um die Identität des Nutzers zu überprüfen. 

Um den Besitz des kodierten privaten Schlüssels auf dem Mobilgerät des Nutzers zu überprüfen und ihm zu erlauben, die Authentifizierungsanfrage digital zu signieren, muss der Nutzer seine Identität mithilfe von Wissen und/oder biometrischen Merkmalen nachweisen. Die SecSign ID bietet hierfür vier Optionen an.

1. Die Eingabe einer benutzerdefinierten PIN bzw. eines Passcodes. Dieser wird lediglich innerhalb der App verwendet und niemals übertragen.
2. Die Verwendung von Apples Touch ID Fingerabdruck-Scanner, um den Besitz des privaten Schlüssels mithilfe biometrischer Merkmale nachzuweisen.
3. Die Kombination einer benutzerdefinierten PIN bzw. eines Passcodes mit Apples Touch ID Fingerprint. Dies bildet eine Kombination aus Wissen und biometrischem Nachweis für zusätzliche Sicherheit.
4. Die alleinige Verwendung des privaten Schlüssels auf dem Mobilgerät zur Überprüfung der Authentifizierung. Obwohl diese Alternative nicht auf den Schutz des privaten Schlüssels durch PIN, Passcode oder Touch ID Fingerprint zurückgreift, so stellt sie immer noch eine stärkere Option als eine passwortbasierte Anmeldung dar, weil der private Schlüssel nur auf dem Mobilgerät des Nutzers existiert. Somit kann nur jemand, der im Besitz des Mobilgeräts des Nutzers ist, auf dessen Konto zugreifen.

Das Antippen eines Zugangssymbols liefert die letzte Bestätigung der Identität.

Sobald der Besitz des privaten Schlüssels bestätigt wurde, zeigt die App vier Symbole an. Der Nutzer tippt nun auf das Symbol, das mit dem in der Anmeldemaske der Webseite oder App übereinstimmt. Dies stellt die letzte Identitätsüberprüfung dar. Die SecSign ID App informiert den Authentifizierungsserver über das Ergebnis, und der Zugriff auf das Nutzerkonto wird gewährt.

Die SecSign ID nutzt die Unkompliziertheit mobiler Technologie, um es Angreifern unmöglich zu machen, an Zugangsdaten von Nutzern zu gelangen.

Innerhalb von Sekunden kann ein Nutzer die Authentifizierung abschließen, ohne dabei ein Passwort zu verwenden oder sensible Daten einzugeben. Ebenso wenig werden sensible Daten übertragen oder gespeichert.

Das bedeutet, dass nirgendwo etwas vorliegt, das von Verbrechern gestohlen und für den Zugriff auf Nutzerkonten oder -daten verwendet werden könnte. Diverse Angriffsformen wie Brute Force, Phishing, Malware, Man-in-the-Middle-Attacken oder Angriffe auf SIM-Karten werden Kriminellen nicht mehr den gewünschten Erfolg bringen, nämlich damit an die Zugangsdaten für Nutzer zu gelangen, um damit auf die Konten zugreifen und größtmöglichen Schaden anrichten zu können.

Unter https://www.secsign.com/de/unternehmen/zwei-faktor-authentifizierung/ erhalten Sie weitere Informationen über die SecSign ID, können die kostenlose mobile App herunterladen und eine Beispielanmeldung durchspielen. Entwicklern werden hier diverse Plugins zur Verfügung gestellt.