Zwei-Faktor-Authentifizierung: Gerüchte über ihr Ende sind übereilt
Um 2FA-Umgehungsversuchen entgegenzuwirken, ist es erforderlich, sie mit zusätzlichen Maßnahmen zu stärken, sagt Gastautor Sébastien Viou von Stormshield.
Laut dem Data Breach Report 2022 von Verizon basieren 82 Prozent der Verstöße auf Social-Engineering-Techniken oder der Ausnutzung menschlicher Schwächen. Um dieser Plage entgegenzuwirken, ist es heutzutage von entscheidender Bedeutung, die Authentifizierungsphase zu stärken. Obwohl Unternehmen des Öfteren die Zwei-Faktor-Authentifizierung als bewährte Sicherheitspraxis einsetzen, hat diese Methode verschiedene Schwächen.
Die Grenzen der Zwei-Faktor-Authentifizierung
In den letzten Jahren haben Cyberkriminelle ausgefeilte Techniken entwickelt, um die Zwei-Faktor-Authentifizierung zu umgehen. Eine der häufigsten Methoden besteht darin, nachgebildete Websites mit vorgefertigten Phishing-Kits zu erstellen. Diese Websites enthalten gefälschte Login-Seiten, um Benutzeranmeldeinformationen wie Codes oder Session-Cookies zu sammeln. Dies ist eine äußerst effektive Methode, da das Opfer transparent zur legitimen Website umgeleitet wird, ohne den Betrug zu bemerken.
Andere komplexere Techniken wie ausgeklügeltes Social Engineering werden ebenfalls eingesetzt, um ein Opfer dazu zu bringen, seinen Einmalkenncode durch Deep-Fake-Stimmtechniken oder durch die Umleitung von Telefonanrufen auf betrügerische Nummern preiszugeben.
Mit Brute-Force-Angriffen 2FA umgehen
Cyberkriminelle können die Zwei-Faktor-Authentifizierung auch mittels Brute-Force-Angriff umgehen, bei dem automatisch alle möglichen Varianten der Sicherheitscodes ausprobiert werden. In der Praxis sind diese Attacken jedoch selten, da sie Zeit erfordern und durch Firewall-Regeln unwirksam gemacht werden, die wiederholte Verbindungsversuche blockieren.
Noch seltener, aber genauso gefährlich sind sogenannte Man-in-the-Middle-Angriffe, bei denen ausgefeilte Techniken eingesetzt werden, um den 2FA-Code abzufangen, indem man sich in die Kommunikation zwischen dem Benutzer und der Anwendung einschleust. Zum Beispiel nutzen Attacken wie „SIM-Swapping“ die Option der Telefonnummernportierung des Smartphones bei einem Mobilfunkanbieter illegal aus, um die Bestätigungs-SMS mit den 2FA-Parametern des Opfers zu erhalten. Diese Methoden sind Alternativen zum physischen Diebstahl eines Computers oder eines Mobiltelefons.
Voller Zugriff auf E-Mail-Konten der Opfer
Bereits im Jahr 2018 warnte Amnesty International vor den Schwachstellen der Zwei-Faktor-Authentifizierung. Amnesty Tech untersuchte damals eine umfangreiche und ausgeklügelte Phishing-Kampagne gegen Journalisten und Menschenrechtsverteidiger im Nahen Osten und Nordafrika. Dabei hatten Cyberkriminelle gefälschte Google- und Yahoo-Authentifizierungsseiten erstellt. Sobald die Benutzer ihre E-Mail-Adresse eingegeben hatten, forderte die bösartige Benutzeroberfläche die Anwender auf, den ihnen gerade per SMS zugesandten sechsstelligen Authentifizierungscode einzugeben. Indem die Cyberkriminellen sowohl die Anmeldedaten als auch den zweiten Authentifizierungsfaktor kannten, hatten die Angreifer vollen Zugriff auf die E-Mail-Konten ihrer Opfer.
Ist die Zwei-Faktor-Authentifizierung immer noch zuverlässig?
Die Zwei-Faktor-Authentifizierung ist tatsächlich deutlich zuverlässiger als ein einfaches Passwort. Um möglichen Umgehungsversuchen entgegenzuwirken, ist es jedoch dringend erforderlich, sie mit zusätzlichen Maßnahmen zu stärken.
Eine Möglichkeit, den Zugriff sicherer zu machen, besteht darin, die Anzahl der Überprüfungsfaktoren durch die Verwendung der Mehr-Faktor-Authentifizierung (MFA) zu erhöhen. Die Mehr-Faktor-Authentifizierung erfordert den Einsatz verschiedener Überprüfungselemente, um einer Person oder einer Maschine Zugriff zu gewähren.
Gemäß den offiziellen Empfehlungen der ANSSI werden diese Faktoren in vier Kategorien eingeteilt, darunter:
- Bekannte Faktoren wie ein Passwort oder eine Sicherheitsfrage;
- wie ein physischer Sicherheitstoken (eine Smartcard, ein SecurID-Schlüssel) oder ein digitaler Token (ein Telefon, eine mobile Anwendung), der einen eindeutigen und temporären Code (OTP) generiert;
- angeborene Faktoren wie biometrische Merkmale, DNS, Fingerabdrücke, Netzhautmuster, Gesichtserkennung und Spracherkennung;
- oder produzierte Faktoren wie Standort, Aktionen und Verhaltensanalyse.
Out-of-band-Authentifizierung oder Deep-Voice-Detection-Technologie
Es gibt bereits verschiedene Lösungen, die noch mehr Sicherheit bieten. Dazu gehört die Out-of-band-Authentifizierung (OOBA), bei der Anwender über zwei verschiedene Kommunikationskanäle verifiziert werden. In diesem Fall könnte ein Faktor über ein LAN-Netz kommuniziert werden, während ein anderer über das 4G/5G-Netzwerk übermittelt wird – ergo eine Kanaltrennung für erhöhte Sicherheit. Ein weiterer Ansatz ist die Deep-Voice-Detection-Technologie, die von einer KI erzeugte Stimmen erkennt. Diese Techniken haben jedoch aufgrund hoher Implementierungskosten noch eine nur geringfügige Bedeutung.
Es ist also wichtig zu erkennen, dass die 2FA und in geringerem Maße die MFA anfällig für hochentwickelte Cyberangriffe sein können. Die Hinzufügung eines zweiten, auch schwachen Authentifizierungsfaktors macht den Benutzer aber im Vergleich zur Verwendung eines einzigen Faktors nicht anfälliger. Im Gegenteil! Deshalb sind diese Authentifizierungsmethoden noch nicht veraltet: Sie können die meisten gängigen Cyberangriffe abwehren.
Die korrekte Implementierung der Zwei-Faktor-Authentifizierung bleibt ein Schlüsselfaktor, um ausreichenden Schutz für den Zugriff auf Unternehmensressourcen zu gewährleisten. Die Einführung eines dritten oder sogar vierten Authentifizierungsfaktors für bestimmte Benutzer (Systemadministrator und andere VIPs des Unternehmens) sowie der Einsatz mehrerer Kommunikationskanäle können die Schwachstellen des Authentifizierungsprozesses weiter reduzieren. Wie so oft geht es auch hier um eine angemessene Risikobewertung und die erforderliche Investitionsbereitschaft zur Risikominimierung.
ist Direktor für Cybersicherheit und Produktmanagement bei Stormshield.