Multifaktor-Authentifizierung (MFA): Nur so stark wie das schwächste Glied in der Kette
- Lesezeit:
- 6 min
Multifaktor-Authentifizierung (MFA) ist eine Methode zur Erhöhung der Sicherheit von Onlinediensten, bei der mehrere Faktoren verwendet werden, um die Identität eines Benutzers zu verifizieren. Es gibt drei grundlegende Faktoren, die bei der Authentifizierung eingesetzt werden: das Wissen, den Besitz und die Biometrie.
Wissensbasierte Verfahren
Das wissensbasierte Verfahren prüft, was der Benutzer weiß. Ein Beispiel für diese Art von Multifaktor-Authentifizierung ist die Verwendung von sogenannten “Knowledge-Based Authentication” (KBA) Fragen. Hierbei muss der Benutzer bei der Registrierung eine Reihe von persönlichen Fragen beantworten, deren Antworten nur er oder sie kennen sollte. Bei jeder Anmeldung wird dann eine zufällige Frage gestellt, die der Benutzer korrekt beantworten muss, um sich zu authentifizieren. Klassisch und weit verbreitet ist die Verwendung von Passwörtern oder PINs. Diese Methoden sind bei vielen Onlinediensten weit verbreitet, da sie einfach zu implementieren und für Benutzer leicht verständlich ist. Der verifizierte Faktor ist das Wissen des Benutzers, das natürlich vorher mit dem Dienst geteilt werden muss.
Besitzbasierte Verfahren
Eine weitere Methode ist das besitzbasierte Verfahren, bei dem der Benutzer ein physisches Objekt besitzt, das zur Authentifizierung verwendet wird. Hierzu gehören beispielsweise USB-Schlüssel, Smartcards oder Token, die ein sogenanntes Einmal-Passwort (OTP) generieren. Der verifizierte Faktor ist in diesem Fall der Besitz des Objekts, belegt durch das individuell berechnete OTP. Da der Token physisch im Besitz des Benutzers ist, bietet dies im Vergleich zu wissensbasierten Verfahren eine zusätzliche Schutzebene, da der Angreifer auch den Token stehlen müsste, um sich erfolgreich zu authentifizieren.
Biometrische Verfahren
Biometrie bezieht sich auf physische Eigenschaften des Benutzers, die technisch gemessen werden können, um seine Identität zu bestätigen. Typische Beispiele für biometrische Faktoren sind Fingerabdrücke, Gesichtserkennung, Iris-Scans und Spracherkennung. Bei der MFA kann die Biometrie in der Regel als erster Faktor verwendet werden, da sie eine relativ hohe Sicherheit bietet und schwer zu fälschen ist. Biometrische Daten können jedoch kompromittiert und gefälscht werden, insbesondere wenn sie unverschlüsselt gespeichert werden oder wenn es sich um ein statisches Merkmal handelt, das sich ohne weiteres durch den Benutzer nicht ändern lässt. Wenn Biometrie also allein als Faktor verwendet wird, kann es daher durchaus ein höheres Risiko für einen erfolgreichen Angriff geben.
Inhärenz
Inhärenz bezieht sich auf Merkmale, die in der Regel nicht statisch wie biometrische Merkmale sind, sondern vom Benutzer bewusst oder unbewusst beeinflusst oder verändert werden können. Ein Beispiel dafür ist das Tippverhalten auf einer Computertastatur, bei dem das Muster der Tastenschläge auf der Tastatur analysiert wird, um die Identität zu bestätigen. Ein weiteres Beispiel ist das Verhalten des Benutzers am Computer oder im Internet, etwa bevorzugte Browser und Geräte oder regelmäßige Standorte. Wenn Inhärenz als Faktor in der MFA verwendet wird, wird dieseroft als zweiter oder dritter Faktor verwendet, da Inhärenz normalerweise weniger sicher ist als die Biometrie.
Der Grundgedanke von MFA ist es mehrere dieser Faktoren zu kombinieren. Sehr bekannt ist die sogenannte Zwei-Faktor-Authentifizierung (2FA), die ein wissen- und besitzbasiertes Verfahren kombiniert. Konkret wird hierbei zumeist ein Passwort als erster Faktor verwendet, während ein OTP als zweiter Faktor dient. Eine weitere, wenn auch seltener anzutreffende Methode ist die Drei-Faktor-Authentifizierung, die sowohl das wissen-, besitz- und biometriebasierte Verfahren kombiniert. Viele MFA-Methoden in Onlinediensten sind entsprechend der genannten 2FA-Variante umgesetzt und nutzen als ersten Faktor das wissensbasierende Verfahren und greifen auf die Verwendung von Passwörtern zurück, da dies einfach zu implementieren und für Benutzer leichter zu verwenden ist als beispielsweise individuelle Sicherheitsfragen. Kombiniert wird dies regelmäßig mit OTPs, die per SMS an den Benutzer gesendet werden. Diese Methode ist jedoch anfällig für Angriffe wie das SIM-Swapping, bietet jedoch immernoch einen höheren Schutz als passwortbasierte Authentifizierung alleine.
SIM-Swapping-Angriffe
SIM-Swapping-Angriffe sind eine Form von Social-Engineering-Angriffen, bei denen Angreifer versuchen, die Kontrolle über die Mobiltelefonnummer des Opfers zu erlangen, indem sie den Mobilfunkanbieter des Opfers betrügen. Der Angriff erfolgt in der Regel, indem der Angreifer den Mobilfunkanbieter anruft und sich als das Opfer ausgibt. Der Angreifer gibt vor, dass er sein Telefon verloren hat oder dass sein Telefon beschädigt wurde und er eine neue SIM-Karte benötigt. Der Mobilfunkanbieter kann dann die Telefonnummer des Opfers auf die neue SIM-Karte übertragen, die der Angreifer besitzt. Die Voraussetzung für diesen Angriff ist, dass der Angreifer das verwendete Passwort des Opfers kennt. Der Angreifer startet damit die Authentifizierung und wartet dann auf die Aufforderung zur Überprüfung des zweiten Faktors, der per SMS an das Telefon des Opfers gesendet werden soll. Wirddie SMS an die Telefonnummer des Opfers gesendet, empfängt nun jedoch der Angreifer diese auf seinem eigenen Telefon, da er ja die Kontrolle über die Telefonnummer des Opfers hat. Der Angreifer gibt das OTP ein und erhält so Zugriff auf das Benutzerkonto des Opfers. SIM-Swapping-Angriffe sind ein wachsendes Problem und viele Mobilfunkanbieter haben begonnen, zusätzliche Sicherheitsmaßnahmen zu implementieren, um diese Art von Angriffen zu verhindern. Es ist jedoch immer noch wichtig, dass Nutzer von Onlinediensten aufmerksam sind und geeignete Sicherheitsvorkehrungen treffen, um sich vor dieser Art von Angriffen zu schützen.
OTP-Token Phishing
OTP-Token-Phishing über SMS ist eine spezielle Art von Angriff, bei der Angreifer versuchen, Einmalpasswörter (OTP) von Nutzern zu stehlen, die per SMS empfangen werden. Wie bei anderen Arten von Phishing-Angriffen verwenden Angreifer oft gefälschte Login-Seiten oder Nachrichten, um Nutzer dazu zu verleiten, ihre Anmeldeinformationen einzugeben, einschließlich ihres Benutzernamens und Passworts sowie ihres OTPs. Um einen OTP-Token-Phishing-Angriff über SMS durchzuführen, können Angreifer eine bösartige App auf dem Smartphone des Opfers installieren, die in der Lage ist, SMS-Nachrichten zu lesen und weiterzuleiten. Die App kann dann natürlich auch die OTP-Nachrichten, die von den Onlinediensten an den Benutzer gesendet werden, abgreifen und an den Angreifer senden. Alternativ können Angreifer gefälschte SMS-Nachrichten an den Benutzer senden, die vorgeben, von einem legitimen Dienst zu stammen, und ihn dazu auffordern, das OTP in eine bösartige App oder auf eine gefälschte Login-Seite einzugeben. Um sich vor OTP-Token-Phishing-Angriffen über SMS zu schützen, sollten Benutzer sicherstellen, dass sie nur legitime Apps von vertrauenswürdigen Quellen herunterladen und installieren. Sie sollten auch vorsichtig sein beim Öffnen von Nachrichten von unbekannten Absendern oder beim Anklicken von Links in verdächtigen Nachrichten. Zusätzlich können Benutzer alternative zweite Faktoren für die Authentifizierung verwenden, die nicht auf SMS basieren, wie zum Beispiel OTP-Apps oder Hardware-Token, die entsprechende OTPs generieren. Diese Methoden sind in der Regel sicherer als SMS-basierte OTPs und bieten einen etwas höheren Schutz gegen Phishing-Angriffe.
Die Möglichkeiten von SIM-Swapping und OTP-Phishing Angriffen zeigen, dass es wichtig ist zu beachten, dass MFA als Konzept allein nicht ausreicht, um ein Konto zu sichern. Alle verwendeten Faktoren müssen ebenfalls dauerhaft geschützt und auf Sicherheit geprüft werden, um Angriffe zu verhindern. Sind Passwörter ein Bestandteil des verwendeten Verfahrens, ist es wichtig diese sicher und einzigartig zu wählen. Ein einzigartiges und sicheres Passwort bietet zusätzlichen Schutz gegen Angriffe auf den Authentifizierungsfaktor des Passworts selbst, wie z.B. Brute-Force oder Credential Stuffing-Angriffe. Insgesamt kann MFA ein nützliches Instrument zur Verbesserung der Sicherheit von Onlinediensten sein, aber es ist wichtig, dass die verschiedenen Faktoren, die in einem MFA-Verfahren eingesetzt werden, ebenfalls ausreichend sicher sind.
Artikel teilen