Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) ist heute in aller Munde. Kaum eine Organisation, kaum ein Dienst, der noch auf ein zusätzliches Geheimnis neben dem klassischen Kennwort verzichten mag. Zu Recht: Kennwörter, auch oder gerade wenn sie häufig und mit strengen Zeichenvorgaben geändert werden müssen, sind auch im Jahr 2021 oft schwach, leicht durch Brute-Force-Attacken zu knacken, längst in riesigen Datenbanken zugänglich oder werden bei Leaks, Breaches und Phishing-Attacken erbeutet. Die Zukunft des Kennworts als alleiniger Authentifizierungsfaktor ist düster.
Einmal-Passwörter
Dem Kennwort zur Seite stellt man deshalb immer häufiger einen zweiten Faktor, den nur der rechtmäßige Anwender haben kann. Am bekanntesten sind die mehrstelligen Zahlencodes, die von einem Hardware-Token oder einer Authenticator-Software auf einem Smartphone generiert und angezeigt werden und nur für 30 bis 60 Sekunden gültig bleiben – daher Time-Based One-Time Password (TOTP) genannt. Die Funktionsweise ist leicht verständlich: Authenticator und Dienst werden mit demselben Geheimnis initialisiert (Seed oder Secret Key), welches von beiden Seiten zusammen mit dem aktuellen Zeitstempel genutzt wird, um denselben Zahlencode zu erzeugen – so ist sichergestellt, dass nur jemand mit Kenntnis des geheimen Schlüssels gültige Zahlencode erzeugen kann.
Ebenfalls einen Zahlencode als zweiten Faktor, aber ohne den Austausch eines geheimen Schlüssels, versenden manche Dienste per SMS. Doch die Sicherheit trügt. SMS werden an Mobilnummern versendet, aber in den letzten Jahren haben aufsehenerregende Fälle gezeigt, wie leicht es Hackern fällt, Mobilnummern zu übernehmen und Zugriff auf die gesendeten Codes zu halten (oder die Nummer zu nutzen, um Konten, wo sie für ein Rücksetzungsverfahren hinterlegt ist, unter ihre Kontrolle zu bringen).
Auch OTP-Verfahren sind nicht frei von Schwächen. Zunächst einmal fällt es Anwendern leicht, sich selbst auszusperren, wenn sie selbst den Zugriff verlieren, etwa weil das Mobilgerät verloren geht oder das Zeitliche segnet – es sei denn, sie haben den geheimen Schlüssel aufbewahrt, mit dessen Hilfe sie einen neuen Authenticator nutzen können. Weil man sich dieser Gefahr bewusst ist, werden dem Anwender bei der Konfiguration des Anmeldeverfahrens auch gleich Backup-Codes generiert, die jeweils einmalig die Anmeldung ermöglichen, falls man keine Möglichkeit mehr hat, einen gültigen Zahlencode einzugeben.
Außerdem schützen diese Verfahren nicht vor einem Man-in-the-Middle-Angriff, bei welchem dem Anwender eine Kopie der Website präsentiert wird, auf der sowohl sein Kennwort als auch der Zahlencode als zweiter Faktor abgegriffen werden. Auf diese Weise erlangt der Angreifer Zugriff auf das Konto und kann auch gleich die Sicherheitseinstellungen (Kennwort, Authentifizierungsmethoden, Informationen für das Kontorücksetzungsverfahren, etc.) zu seinen Gunsten ändern. Und wenn die Fake-Website unter einer Adresse erreichbar ist, die einen leicht zu begehenden Schreibfehler ausnutzt (goggle.com) und ein ordentliches SSL-Zertifikat nutzt, wird nicht einmal eine Sicherheitswarnung angezeigt, dass das Zertfikat für die eingebene Adresse ungültig ist.
Security Keys
Hier kommen nun die als Security Keys bekanntgewordenen Geräte ins Spiel, die meist kleiner und flacher als gewöhnliche USB-Sticks sind . Yubico als Pionier der Branche, Mitglied der FIDO-Allianz und Mitverfasser der Verfahren U2F und WebAuthn ist mit seinem YubiKey der bekannteste Hersteller solcher Sicherheitsschlüssel, aber mit dem SoloKey von Solo, dem Nitrokey des gleichnamigen Unternehmens oder auch mit Google Titan gibt es mittlerweile einige Mitbewerber. Was macht diese neuen Verfahren attraktiv?
Bei Universal Second Factor (U2F) ist der Sicherheitsschlüssel ein universal einsetzbarer zweiter Faktor (daher der Name) und macht den für jeden Dienst unterschiedlichen OTP-Zahlencode überflüssig. Nach Eingabe des Kennworts muss man auf dem per USB angeschlossenen Sicherheitsschlüssel nur noch einen Button berühren oder (wenn beide Geräte es unterstützen) die NFC-Schnittstelle nutzen, um die Anmeldung abzuschließen.
Die Bedienung ist für den Anwender nicht nur sehr einfach – sie schützt auch gegen Phishing wie Man-in-the-Middle-Attacken, weil der Sicherheitsschlüssel die Anmeldung an Seiten, deren Domain nicht mit derjenigen im SSL-Zertifikat übereinstimmt, nicht zulässt. Selbst wenn man also unvorsichtigerweise sein Kennwort in einer gefälschten Eingabemaske überträgt, erhält der Angreifer trotzdem keinen Zugriff auf das Konto.
WebAuthn ist ein jüngeres Verfahren, das als Schnittstelle zwischen Webbrowser und Sicherheitsschlüssel eine komplett passwortlose Anmeldung nur mithilfe des Sicherheitsschlüssels zulässt, aber kompatibel mit U2F bleibt und also auch weiterhin für Zwei-Faktor-Authentifizierung genutzt werden kann.
Es wird allerdings dringend empfohlen, einen zweiten, dritten oder gar vierten Sicherheitschlüssel als Backup bei den Diensten zu registrieren – falls man einmal seinen Schlüssel verliert, verliert man so nicht den Zugriff auf alle seine mit ihm gesicherten Konten!
Heute bieten einige Plattformen wie Microsoft Online, Google, Dropbox und andere schon U2F/WebAuthn anstelle von SMS-Codes oder TOTP an. Auch zur Anmeldung an Windows oder Linux können sie bereits genutzt werden. Wie breit die Unterstützung derzeit ausfällt, werden wir in einem folgenden Beitrag sehen!
