Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) ist heute in aller Munde. Kaum eine Organisation, kaum ein Dienst, der noch auf ein zus\u00e4tzliches Geheimnis neben dem klassischen Kennwort verzichten mag. Zu Recht: Kennw\u00f6rter, auch oder gerade wenn sie h\u00e4ufig und mit strengen Zeichenvorgaben ge\u00e4ndert werden m\u00fcssen, sind auch im Jahr 2021 oft schwach, leicht durch Brute-Force-Attacken zu knacken, l\u00e4ngst in riesigen Datenbanken zug\u00e4nglich oder werden bei Leaks, Breaches und Phishing-Attacken erbeutet. Die Zukunft des Kennworts als alleiniger Authentifizierungsfaktor ist d\u00fcster.<\/p>\n\n\n\n
Dem Kennwort zur Seite stellt man deshalb immer h\u00e4ufiger einen zweiten Faktor, den nur der rechtm\u00e4\u00dfige Anwender haben kann. Am bekanntesten sind die mehrstelligen Zahlencodes, die von einem Hardware-Token oder einer Authenticator-Software auf einem Smartphone generiert und angezeigt werden und nur f\u00fcr 30 bis 60 Sekunden g\u00fcltig bleiben \u2013 daher Time-Based One-Time Password (TOTP) genannt. Die Funktionsweise ist leicht verst\u00e4ndlich: Authenticator und Dienst werden mit demselben Geheimnis initialisiert (Seed oder Secret Key), welches von beiden Seiten zusammen mit dem aktuellen Zeitstempel genutzt wird, um denselben Zahlencode zu erzeugen \u2013 so ist sichergestellt, dass nur jemand mit Kenntnis des geheimen Schl\u00fcssels g\u00fcltige Zahlencode erzeugen kann.<\/p>\n\n\n\n
Ebenfalls einen Zahlencode als zweiten Faktor, aber ohne den Austausch eines geheimen Schl\u00fcssels, versenden manche Dienste per SMS. Doch die Sicherheit tr\u00fcgt. SMS werden an Mobilnummern versendet, aber in den letzten Jahren haben aufsehenerregende F\u00e4lle gezeigt, wie leicht es Hackern f\u00e4llt, Mobilnummern zu \u00fcbernehmen und Zugriff auf die gesendeten Codes zu halten (oder die Nummer zu nutzen, um Konten, wo sie f\u00fcr ein R\u00fccksetzungsverfahren hinterlegt ist, unter ihre Kontrolle zu bringen).<\/p>\n\n\n\n
Auch OTP-Verfahren sind nicht frei von Schw\u00e4chen. Zun\u00e4chst einmal f\u00e4llt es Anwendern leicht, sich selbst auszusperren, wenn sie selbst den Zugriff verlieren, etwa weil das Mobilger\u00e4t verloren geht oder das Zeitliche segnet \u2013 es sei denn, sie haben den geheimen Schl\u00fcssel aufbewahrt, mit dessen Hilfe sie einen neuen Authenticator nutzen k\u00f6nnen. Weil man sich dieser Gefahr bewusst ist, werden dem Anwender bei der Konfiguration des Anmeldeverfahrens auch gleich Backup-Codes generiert, die jeweils einmalig die Anmeldung erm\u00f6glichen, falls man keine M\u00f6glichkeit mehr hat, einen g\u00fcltigen Zahlencode einzugeben.<\/p>\n\n\n\n
Au\u00dferdem sch\u00fctzen diese Verfahren nicht vor einem Man-in-the-Middle-Angriff, bei welchem dem Anwender eine Kopie der Website pr\u00e4sentiert wird, auf der sowohl sein Kennwort als auch der Zahlencode als zweiter Faktor abgegriffen werden. Auf diese Weise erlangt der Angreifer Zugriff auf das Konto und kann auch gleich die Sicherheitseinstellungen (Kennwort, Authentifizierungsmethoden, Informationen f\u00fcr das Kontor\u00fccksetzungsverfahren, etc.) zu seinen Gunsten \u00e4ndern. Und wenn die Fake-Website unter einer Adresse erreichbar ist, die einen leicht zu begehenden Schreibfehler ausnutzt (goggle.com) und ein ordentliches SSL-Zertifikat nutzt, wird nicht einmal eine Sicherheitswarnung angezeigt, dass das Zertfikat f\u00fcr die eingebene Adresse ung\u00fcltig ist.<\/p>\n\n\n\n
Hier kommen nun die als Security Keys bekanntgewordenen Ger\u00e4te ins Spiel, die meist kleiner und flacher als gew\u00f6hnliche USB-Sticks sind . Yubico<\/a> als Pionier der Branche, Mitglied der FIDO-Allianz und Mitverfasser der Verfahren U2F und WebAuthn ist mit seinem YubiKey der bekannteste Hersteller solcher Sicherheitsschl\u00fcssel, aber mit dem SoloKey von Solo<\/a>, dem Nitrokey<\/a> des gleichnamigen Unternehmens oder auch mit Google Titan gibt es mittlerweile einige Mitbewerber. Was macht diese neuen Verfahren attraktiv?<\/p>\n\n\n\n Bei Universal Second Factor (U2F) ist der Sicherheitsschl\u00fcssel ein universal einsetzbarer zweiter Faktor (daher der Name) und macht den f\u00fcr jeden Dienst unterschiedlichen OTP-Zahlencode \u00fcberfl\u00fcssig. Nach Eingabe des Kennworts muss man auf dem per USB angeschlossenen Sicherheitsschl\u00fcssel nur noch einen Button ber\u00fchren oder (wenn beide Ger\u00e4te es unterst\u00fctzen) die NFC-Schnittstelle nutzen, um die Anmeldung abzuschlie\u00dfen.<\/p>\n\n\n\n Die Bedienung ist f\u00fcr den Anwender nicht nur sehr einfach \u2013 sie sch\u00fctzt auch gegen Phishing wie Man-in-the-Middle-Attacken, weil der Sicherheitsschl\u00fcssel die Anmeldung an Seiten, deren Domain nicht mit derjenigen im SSL-Zertifikat \u00fcbereinstimmt, nicht zul\u00e4sst. Selbst wenn man also unvorsichtigerweise sein Kennwort in einer gef\u00e4lschten Eingabemaske \u00fcbertr\u00e4gt, erh\u00e4lt der Angreifer trotzdem keinen Zugriff auf das Konto.<\/p>\n\n\n\n WebAuthn ist ein j\u00fcngeres Verfahren, das als Schnittstelle zwischen Webbrowser und Sicherheitsschl\u00fcssel eine komplett passwortlose Anmeldung nur mithilfe des Sicherheitsschl\u00fcssels zul\u00e4sst, aber kompatibel mit U2F bleibt und also auch weiterhin f\u00fcr Zwei-Faktor-Authentifizierung genutzt werden kann.<\/p>\n\n\n\n Es wird allerdings dringend empfohlen, einen zweiten, dritten oder gar vierten Sicherheitschl\u00fcssel als Backup bei den Diensten zu registrieren \u2013 falls man einmal seinen Schl\u00fcssel verliert, verliert man so nicht den Zugriff auf alle seine mit ihm gesicherten Konten!<\/p>\n\n\n\n Heute bieten einige Plattformen wie Microsoft Online, Google, Dropbox und andere schon U2F\/WebAuthn anstelle von SMS-Codes oder TOTP an. Auch zur Anmeldung an Windows oder Linux k\u00f6nnen sie bereits genutzt werden. Wie breit die Unterst\u00fctzung derzeit ausf\u00e4llt, werden wir in einem folgenden Beitrag sehen!<\/p>\n","protected":false},"excerpt":{"rendered":" Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) ist heute in aller Munde. Kaum eine Organisation, kaum ein Dienst, der noch auf ein zus\u00e4tzliches Geheimnis neben dem klassischen Kennwort verzichten mag. Zu Recht: Kennw\u00f6rter, auch oder gerade wenn sie h\u00e4ufig und mit strengen Zeichenvorgaben ge\u00e4ndert werden m\u00fcssen, sind auch im Jahr 2021 oft schwach, leicht durch Brute-Force-Attacken zu… U2F und WebAuthn: Die Zukunft der Zwei-Faktor-Authentifizierung<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":6,"featured_media":406,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[99,100],"tags":[],"class_list":["post-404","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-2fa","category-sicherheit","entry"],"_links":{"self":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts\/404","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/comments?post=404"}],"version-history":[{"count":3,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts\/404\/revisions"}],"predecessor-version":[{"id":410,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts\/404\/revisions\/410"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/media\/406"}],"wp:attachment":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/media?parent=404"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/categories?post=404"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/tags?post=404"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}