Account gehackt trotz 2FA?

Zwei-Faktor-Authentifizierung mit Tücken

04.10.2019
Von   IDG ExpertenNetzwerk


Stefan Bange ist Country Manager Germany bei Digital Shadows. Er verfügt über mehr als 10 Jahre Erfahrung in den Bereichen Physical- und IT Security. Seine Schwerpunkte im Bereich Physical Security sind hier Integrations- und Managementplattformen sowie Physical Security Information Management (PSIM). Im Bereich IT Security liegt sein Fokus in den Bereichen PCI DSS, Pentesting, Incident Readiness/Response, Threat Intelligence und Digital Risk Managment.
Immer mehr Unternehmen setzen auf Zwei-Faktor-Authentifizierung. Doch 2FA ist nicht gleich 2FA - und schützt deswegen auch nicht per se vor Hackerangriffen.

Bei der Kreativität, die Anwender bei der Vergabe ihrer Passwörter aufbringen, ist es kein Wunder, dass die Übernahme von Mitarbeiter-Konten nach wie vor ein Kernproblem der IT-Sicherheit darstellt.

Account gehackt? Das gehört in vielen Unternehmen zum Alltag - einer Zwei-Faktor-Authentifizierung zum Trotz. Wir sagen Ihnen, was Sie zum Thema wissen sollten.
Account gehackt? Das gehört in vielen Unternehmen zum Alltag - einer Zwei-Faktor-Authentifizierung zum Trotz. Wir sagen Ihnen, was Sie zum Thema wissen sollten.
Foto: Africa Studio - shutterstock.com

Das am häufigsten geleakte Passwort lautet noch immer 123456 - gefolgt von 12345 und 123456789. Wer gerade an einen schlechten Scherz glaubt, muss nur einen Blick in das aktuelle Passwort-Ranking des Hasso-Plattner-Instituts zu werfen:

Unter den Begriff "Account Takeover" fallen alle Prozesse, mit denen sich Angreifer Zugang auf das Konto eines Nutzers verschaffen. In den meisten Fällen geschieht dies über kompromittierte Login-Daten. Auch die Mehrfachnutzung von Passwörtern für verschiedene Online-Konten trägt dazu bei. Standen anfangs vor allem E-Commerce-Webseiten und Finanz-Dienstleister im Visier krimineller Hacker, beherbergt mittlerweile so gut wie jede Onlineplattform die eine Registrierung erfordert, das Risiko von Identitätsdiebstahl und Finanzbetrug.

Die Eingabe von Benutzername und Passwort auf einer Anmeldeseite läuft dabei in der Regel überall gleich ab. Single-Factor-Authentifizierung, also die Anmeldung über ein einziges Passwort, stellt jedoch ein hohes Risiko dar.

  • Anwender sind notorisch schlecht bei der Wahl von Passwörtern, wie die obige Bildergalerie eindrücklich zeigt. Damit ist es ein Leichtes für Angreifer, das Passwort schlichtweg zu erraten.

  • Die automatisierte Variante dieses Ratespiels sind Brute-Force-Angriffe. Tools wie Medusa, Hydra, ncrack oder Metasploit ermöglichen es, lange Listen an Passwörtern systematisch auf Anmeldeseiten im Internet oder Remote-Desktop-Protokollen anzuwenden.

  • Wird ein Webdienst oder ein Unternehmen erfolgreich gehackt, gelangen in der Regel sogenannte Passwort-Hashes ins Netz. Hash-Funktionen verschlüsseln Passwörter in eine kompakte Zeichenkette. Tools wie HashCat oder John the Ripper erlauben es, diese Hash-Werte in Plaintext-Passwörter zurück zu "verwandeln".

  • Sind Geräte und Systeme einmal kompromittiert, lassen sich mit Tools wie Mimikatz Windows-Passwörter aus dem Speicher extrahieren. Keylogger zeichnen Eingaben auf der Tastatur auf, um an Logindaten zu gelangen.

2FA - doppelt hält nicht zwingend besser

Mehr Sicherheit verspricht an dieser Stelle der Einsatz einer Lösung zur Zwei-Faktor-Authentifizierung (2FA). Hierbei wird ein weiterer Faktor in den Authentifizierungsprozess mit aufgenommen, was eine zusätzliche Barriere bei Angriffen schafft und Angreifer ausbremsen soll. Hierzu werden am häufigsten "Besitz-Komponenten" genutzt - aber nicht nur. Zwei-Faktor-Authentifizierung ist nicht Zwei-Faktor-Authentifizierung - auch in diesem Bereich kommen verschiedene Technologien zum Einsatz, die sich teils stark voneinander unterscheiden und unterschiedliche Vor- und Nachteile mit sich bringen, was die Sicherheit im Allgemeinen, aber auch das Angriffsrisiko angeht:

Zwei-Faktor-Authentifizierung mit SMS Token

Die bekannteste Art der Zwei-Faktor-Authentifizierung läuft über SMS Token. Hierbei wird bei jeder Anmeldung ein Zufallscode generiert, der per SMS an das Smartphone des Anwenders geschickt wird. Laut einem Blogpost von Google lassen sich automatisierte Bot-Attacken auf diese Weise vollständig blockieren. Bei großangelegten Phishing-Kampagnen liegt dieser Wert bei 96 Prozent, bei gezielten Hackerangriffen immerhin noch 76 Prozent. Trotzdem gelten SMS Token zu Recht als die unsicherste 2FA-Variante. Gelingt es Angreifern, den Mobilfunkanbieter zu überlisten und die Telefonnummer des Opfers auf eine SIM-Karte zu portieren, können die Token über Swap-Angriffe abgefangen werden. Ein SIM-Token kann zudem wiederverwendet werden ("Replay-Attacke"), wenn er im Rahmen einer Social-Engineering-Kampagne an einen maliziösen Server gesendet wird.

2FA mit Smartcards

Smartcards oder Integrated Circuit Chip (ICC)-Karten kommen zur Zwei-Faktor-Authentifizierung typischerweise in hochsicheren Windows-Umgebungen zur Anwendung - etwa beim US-Verteidigungsministerium. Die Smartcard hat die Größe einer normalen Kreditkarte, ist aber mit einem integrierten Chip ausgestattet, der ein digitales X509-Zertifikat speichert, das zur eindeutigen Identifizierung des Benutzers verwendet wird. Dieses Zertifikat ist verschlüsselt und muss mit einer PIN freigeschaltet werden. Damit verfügt das Hardware-gestützte Zertifikat zwar über starke Sicherheitseigenschaften. Für größere Unternehmen ist die Verwaltung einer Public-Key-Infrastruktur jedoch enorm aufwändig - vor allem wenn die Smartcards über verschiedene Standorte auf internationaler Ebene bereitgestellt werden müssen.

Zwei-Faktor-Authentifizierung via TOTPs

Time Based One Time Passwords (TOTPs) werden kryptographisch über eine Software erstellt. Die App wird dabei einmalig mit dem Server synchronisiert (einschließlich der Uhren) und kann anschließend jede Minute eine neue kryptographische Zufallszahl generieren, die als zweiter Authentifizierungs-Faktor eingesetzt wird. Einmal eingerichtet, erfordert ein TOTP keine weitere Kommunikation zwischen der App und dem Server, so dass der Code nicht (wie bei einem SMS Token) abgefangen werden kann. Der Nachteil: Es gibt keine Authentifizierung der Server-Komponente. Über Social Engineering kann der Code also ebenfalls in die falschen Hände geraten.

Statt via Software können solche Einmalpasswörter auch über Hardware Token erstellt werden. Doch auch hier bleibt ein Sicherheitsrisiko, denn die Hardware-basierten TOTP Token können verloren werden oder kaputtgehen und müssen dann ersetzt und registriert werden, was ebenfalls nicht unaufwändig ist.

2FA per Universal Second Factor

Wem das Abfangen von 2FA-Token zu riskant erscheint, setzt auf Universal Second Factor (U2F). Dabei handelt es sich um einen von der FIDO (Fast IDentity Online) Alliance entwickelten Standard. Universal Second Factor wird in der Regel über Hardware Token implementiert und authentifiziert den Server, mit dem der Client kommuniziert, über den öffentlichen Schlüssel des Dienstes. Ein kryptographisch geschützter Speicherbereich wird dabei als Sicherheitselement auf dem Hardware Token hinterlegt. Der Austausch von Anmeldeinformationen ist nicht nötig. Das Klonen oder Imitieren von Webseiten zum Abfangen von Login-Daten funktioniert damit nicht länger, da die gespeicherte Signatur nicht mit der abgefragten Signatur übereinstimmt.

Zwei-Faktor-Authentifizierung oder Account Hack!

Die Effektivität der einzelnen 2FA-Technologien stellt ein wichtiges Auswahlkriterium dar. Für Unternehmen stellt sich zudem die Frage nach der Praktikabilität einer unternehmensweiten Implementierung. Viele Nutzer empfinden es im Arbeitsalltag als umständlich, für den Zugang zu internen Systemen ein zusätzliches Gerät einsetzen zu müssen. Hier gilt es, zwischen IT-Sicherheit und einer schnellen und zentralen Implementierung sowie einem möglichst einfachen Management abzuwägen. Muss die 2FA-Lösung auf Smartphones, Tablets und Geräten installiert werden, kann das einen enormen Zeitaufwand bedeuten. Spezielle Hardware wie Security Tokens wiederum können verlorengehen oder einem Defekt erliegen. Unternehmen, die über einen Einsatz von Zwei-Faktor-Authentifizierung nachdenken, müssen also zwangsläufig Kompromisse eingehen.

Vor dem Hintergrund der aktuellen Bedrohungslage und dem Umstand, dass kriminelle Hacker nicht müde werden, ständig neue Angriffsmethoden zu entwickeln, ist es insbesondere für Unternehmen allerhöchste Zeit, strengere Authentifizierungs-Prozesse durchzusetzen. Das könnte der einzige Weg sein, um das "123456"-Problem endgültig aus der Welt zu schaffen und Account-Takeover-Attacken zielgerichtet zu bekämpfen. (fm)