Sind alle Multifaktor-Authentifizierungssysteme sicher?
Die US-amerikanische Version des Vice-Magazins, das für seinen alternativen Journalismus und eine teilweise extreme Berichterstattung bekannt ist, veröffentlichte im März dieses Jahres einen Artikel über ein Experiment, das in der IT-Security-Szene für Aufsehen sorgte: Der Journalist Joseph Cox bezahlte einen Hacker für den Versuch, in seine Konten einzubrechen, ohne dass dieser im Besitz eines physischen Geräts, beispielsweise Coxs Mobiltelefon, ist. Kein Problem für den Angreifer – und das zum Unkostenbeitrag von nur 16 US-Dollar. Denn so viel investierte dieser in das dafür verwendete, legitime und jederzeit zugängliche Werkzeug.
Der Hacker, der sich Lucky225 nennt, kam zum Ziel, ohne die SIM-Karte anzugreifen – was in solchen Fällen meist das übliche Vorgehen ist. Stattdessen nutzte er eine zu schwache Multifaktor-Authentifizierung (MFA) aus. Wie genau? Er instrumentalisierte ein Marketingkampagnentool namens Sakari, mit dem Unternehmen zu kommerziellen Zwecken Massen-SMS-Nachrichten an ganze Listen von Handynummern senden können. Hierfür schickte Lucky225 unter Angabe falscher Daten zunächst ein Erlaubnisschreiben an Sakari und behauptete, die Telefonnummer des Journalisten gehöre ihm. Daraufhin wurden an den Journalisten adressierte SMS-Nachrichten über die Anwendung umgeleitet und der Journalist erhielt sie nicht mehr selbst auf seinem Mobiltelefon. Auf diese Weise konnte der Hacker auf viele Online-Konten des Opfers zugreifen: Er musste nur neue Passwörter anfordern und prompt wurden von den Portalen entsprechende SMS mit neuen Zugangsdaten direkt an ihn geschickt.
Dieser Vorfall zeigt, wie unsicher einige dieser Systeme sind. Jedoch darf nicht vergessen werden, dass es im Bereich Multifaktor-Authentifizierung unterschiedlichste Lösungsansätze gibt. Die gängigsten werden in einem Beitrag für die amerikanische IT-Security-Plattform „Dark Reading“ von Alexandre Cagnoni, Produktmanager für Authentifizierung bei WatchGuard, näher erläutert.
In diesem Fall nutzte Lucky225 die SMS-basierten OTP (One Time Password)-Multifaktor-Authentifizierungsmethoden, die bei vielen Unternehmen nach wie vor im Einsatz sind und nicht selten ein falsches Gefühl der Sicherheit vermitteln. Entsprechende Studien, die von solchen Ansätzen abraten, waren bereits Thema unseres Secplicity-Blogs. Diese zeigen, dass SMS-basierte Lösungen immanente Risiken hinsichtlich Identitätsdiebstahl oder Authentifizierungsbetrug bergen.
Sichere Methoden
Stattdessen gibt es alternative Methoden mit deutlich weniger Missbrauchsrisiko – beispielsweise die MFA-Lösung „AuthPoint“ von WatchGuard. Hierbei wird zur Authentifizierung per Mobiltelefon ein eindeutiger Schlüssel generiert, dessen Nutzung zudem zeitlich begrenzt ist. Die Verifizierung erfolgt auf Basis der klar zuordenbaren Telefon-DNA. Erst nach dem entsprechenden Abgleich ist ein Zugriff auf Systeme und Anwendungen möglich. Selbst Angreifer, die das Gerät eines Benutzers klonen, um auf diese Weise Zugang zu geschützten Inhalten erhalten, haben somit keine Chance, da die DNA nicht die gleiche wäre. Zudem unterstützt die App auf dem Mobiltelefon drei unterschiedliche Wege zur Authentifizierung.
Push-Benachrichtigung: Die sichere Authentifizierung erfolgt einfach per Touch-Freigabe. Es wird nicht zuletzt deutlich, wer sich wo zu authentifizieren versucht. Ein nicht autorisierter Zugriff auf Ressourcen lässt sich gezielt unterbinden.
QR-Code-basierte Authentifizierung: Die Kamera des Mobiltelefons wird verwendet, um einen eindeutigen, verschlüsselten QR-Code zu lesen, der nur von der MFA-Anwendung erkannt wird. Um die Authentifizierung abzuschließen, muss die anschließend angezeigte Zahlenfolge eingetippt werden.
Zeitbasiertes, einmaliges Passwort (OTP): Das dynamisch generierte, zeitbasierte Einmal-Passwort wird wie angezeigt empfangen und beim Login eingegeben.
Darüber hinaus unterstützt WatchGuard auch die Authentifizierung per Hardware-Token. Die versiegelten elektronischen Geräte generieren alle 30 Sekunden sichere Einmal-Passwörter (OTP). Unternehmen können diese Methode als Alternative zu mobilen Token nutzen, um den Zugang zu geschützten Ressourcen zu authentifizieren.
Ein weiterer Vorteil von AuthPoint besteht darin, dass alle Token, Berechtigungen und Logins jedes einzelnen Benutzers in einem Cloud-Portal auf Basis der WatchGuard Cloud verwaltet werden können. Auf diese Weise haben Unternehmen einen vollständigen, detaillierten Überblick zum Benutzerzugriff und können bei einem erkannten IT-Sicherheitsrisiko den Zugang verweigern. Ein Missbrauch der Multifaktor-Authentifizierung wie im oben beschriebenen Szenario wäre somit erst gar nicht möglich bzw. ließe sich effektiv eindämmen.