3 minute read
Für mehr Sicherheit: Zwei Faktor Authentisierung
Niels Gründel
Der Mensch wählt trotz aller Warnungen und Hürden immer noch möglichst einfache Passwörter. Eine Zwei-Faktor-Authentisierung ist in jedem Fall ein Schritt in die richtige Richtung. Dennoch ist man damit allein nicht vor Hackerangriffen geschützt. Eine geeignete Lösung darf andererseits auch die Mitarbeitenden nicht zu sehr verärgern, wenn sie in der Praxis funktionieren soll.
Advertisement
Eine der grossen Schwachstellen in der IT ist der Mensch und dabei stehen an erster Stelle von ihm gewählte Passwörter zu – in der Theorie – gut abgesicherten Systemen. Die Anmeldung nur über ein einziges Passwort ist ein hohes Risiko, denn Nutzer sind in der Wahl ihrer Passwörter denkbar schlecht. Das macht Angreifern das Leben besonders leicht und lässt sich das Pass- -wort nicht direkt erraten, so gibt es eine Reihe automatisierter Anwendungen für einen Brute-Force-Angriff. Diese Tools arbeiten lange Listen bekannter Passwörter systematisch ab. Für das Nachbarland Deutschland veröffentlicht das Hasso-PlattnerInstitut jährlich die meistgenutzten Passwörter. In den Top 20 des vergangenen Jahres gibt es kein einziges sicheres Passwort. Die Liste wird angeführt von so unglaublich schlichten Absicherungen wie «123456» und endet mit «222222»; auf Platz fünf findet sich «password» und auf Platz 9 «000000». Viele Nutzer sind schlicht überfordert, auch weil sie für unterschiedliche (Online)-Dienste ein Passwort benötigen. Heutzutage kommt man so schnell auf einige hundert Online-Konten. Und gehackte Accounts kommen in der Folge deutlich häufiger vor, als gemeinhin von den Nutzern angenommen, auch weil viele Dienste bei der Vergabe zu simple Passwörter zulassen. IT-Administratoren in Unternehmen setzen daher zunehmend auf eine Zwei-Faktor-Authentisierung (2FA). Sie soll das Problem schlecht gewählter und einfach zu erratender Passwörter umgehen, indem nicht das Passwort allein, sondern eben auch ein zweiter Faktor für eine erfolgreiche Anmeldung und damit ein potenziell erfolgreiches Account-Hacking notwendig sind. Für Letzteres sind die Barrieren damit erheblich höher. Doch für eine Zwei-Faktor-Authentisierung gibt es unterschiedliche Technologien, die sich teilweise stark voneinander unterscheiden. Jede dieser Varianten bringt eigene Vor- und Nachteile mit sich und damit nicht nur eine unterschiedlich starke Sicherheit, sondern ebenso ein anders gelagertes Risiko bei Hacker-Angriffen.
2FA nicht per se sicher Die Zwei-Faktor-Authentisierung per SMS hat eine recht hohe Verbreitung, gilt aber durchaus als anfällige Variante. Das Problem liegt im Mobilfunk-Netz selbst, da SMS unverschlüsselt übertragen werden. Theoretisch hat zwar niemand Zugriff, doch praktisch gibt es einige Sicherheitslücken im Standard SS7 und entsprechende Programme zur Ausnutzung finden sich im Internet. Damit war es schon Ende 2017 Angreifern gelungen, ein Bitcoin-Wallet aus einem Google-Konto zu entwenden. Lohnt sich das potenzielle Ziel, so kann ein SIM-Token an einen maliziösen Server gesendet werden, um ihn dann zu verwenden. Vor allem Banken verwenden inzwischen eine separate App, die als zweiter Faktor dient. Im Unternehmensumfeld gibt es dagegen eher andere Herangehensweisen: Meist mittels Hardware-Token werden Time-based One Time Passwords (TOTPs) erstellt. Die kryptografischen Zufallszahlen dienen als zweiter Authentisierungs-Faktor. Ein Abfangen wie bei einem SMS-Token ist nicht möglich, doch über Social Engineering kann der zweite Faktor ebenso in falsche Hände geraten. Hardware-basierte Token für ein Time-based One Time Password können zudem verloren gehen und eines Tages ist ihre Lebensdauer erschöpft. Der Verwaltungsaufwand ist verhältnismässig gross. Noch aufwendiger und grösser ist der Aufwand nur bei Smartcards. Sie werden meist in hochsicheren Umgebungen eingesetzt. Auf der
Weitere Informationen zu unseren Micro- und MiniRechenzentrumslösungen finden Sie hier:
www.cabling.datwyler.com
Smartcard ist ein integrierter Chip mit einem gespeicherten X509-Zertifikat zur eindeutigen Identifizierung des Nutzers. Das Zertifikat selbst ist verschlüsselt; die Freigabe erfolgt mittels PIN. Eine weitere Variante ist der Universal Second Factor (U2F). Es handelt sich um einen Industriestandard für eine allgemein anwendbare Zwei-Faktor-Authentisierung. Die Spezifikationen wurden von Google, NXP Semiconductors und Yubico entwickelt und unter dem Standard FIDO veröffentlicht. U2F wird meist über Hardware-Token implementiert. Anmeldemöglichkeiten finden sich vor allem bei unterschiedlichen Internetdiensten wie Dropbox, GitHub oder Gmail. Ebenso unterstützt auch Microsoft U2F unter Windows 10 für eigene Dienste und die von Drittanbietern.
Keine Lösung ohne Kompromiss
Jede 2FA-Technologie hat ihre eigenen Vorund Nachteile. Für ein Unternehmen stellt sich bei der Auswahl einerseits die Frage nach der benötigten Sicherheitsstufe, andererseits aber auch die Frage nach dem Aufwand für die Einführung und Verwaltung. Zudem dürfen die Nutzenden selbst nicht aus den Au
gen verloren werden. Ist die ausgewählte Technologie zu umständlich in der Anwendung, wird sie kaum Erfolg haben. ■
