© S&S Media
Windows Developer
Warum die Zwei-Faktor-Authentifizierung sicherer ist

Authentifizierung: einer reicht nicht

Lange Zeit reichte die Kombination aus Benutzername und Passwort aus, um einen Benutzer sicher zu identifizieren. Inzwischen gelangen diese Zugangsdaten immer öfter in falsche Hände. Also muss ein zusätzlicher Faktor die Authentifizierung absichern, wenn man wirklich auf Nummer sicher gehen will.

Carsten Eilers


Seit einigen Jahren gibt es immer wieder Berichte über große Passwortlecks. Zum Beispiel, weil es mal wieder ein Serverbetreiber mit der Sicherheit nicht genau genug genommen hat und sein Server Opfer eines Angriffs wurde, bei dem die komplette Benutzerdatenbank kopiert wurde. Oder weil Phisher große Datenmengen gesammelt haben, die dann irgendwo als riesige Datei aufgetaucht sind. Oder weil ein Botnet oder spezielle Spyware Zugangsdaten ausgespäht und an einen Server geschickt hat und jemand dort auf die gesammelten Daten gestoßen ist.

Im kleineren Maßstab kann auch ein Man in the Mid­dle Zugangsdaten während der Übertragung ausspähen, ein vor allem bei unverschlüsselten Verbindungen und der Nutzung eines offenen WLANs nicht zu unterschätzendes Risiko, oder JavaScript-Code auf präparierten Websites über eine Schwachstelle im Webbrowser die Zugangsdaten aus dem Passwortmanager auslesen.

Es gibt viele Möglichkeiten, wie Cyberkriminelle an Zugangsdaten gelangen. Im Fall von auf Servern ausgespähten Passwörtern sind diese hoffentlich mithilfe einer speziell dafür vorgesehenen Funktion wie der „Password-Based Key Derivation Function 2“ (PBKDF2) oder crypt_blowfish/bcrypt gehasht worden [1]. Daran beißen sich Cyberkriminelle dann im Allgemeinen die Zähne aus, während einfache Hashwerte inzwischen schnell geknackt sind, mitunter sogar, wenn sie gesalzen sind. In allen anderen Fällen liegen Cyberkriminellen die Passwörter ohnehin als Klartext vor, sodass sie sie sofort missbrauchen können.

Der Benutzername und das zugehörige Passwort allein reichen also nicht mehr aus, um einen Benutzer sicher zu identifizieren. Damit die Authentifizierung wieder sicher ist, muss sie um einen weiteren Faktor ergänzt werden. Dabei darf an dieser Stelle aber ein wichtiger Hinweis nicht fehlen.

Auch zwei (oder noch mehr) Faktoren schützen nicht vor einem MitM

Eine Zwei-Faktor-Authentifizierung schützt nicht vor einem laufenden Man-in-the-Middle-Angriff: Da sich der Angreifer in der Verbindung zwischen Client und Server befindet, kann er sich nach erfolgreicher Authentifizierung durch den Benutzer gegenüber dem Server jederzeit als der betroffene Nutzer ausgeben (und gegenüber dem Nutzer als Server).

Aber während der Man in the Middle die belauschte Benutzername-Passwort-Kombination auch später noch jederzeit nutzen kann, um sich beim Server als Benutzer anzumelden, ist das bei einer Zwei-Faktor-Authentifizierung nicht möglich, da ihm der dafür zusätzlich benötigte zweite Faktor fehlt.

...

Windows Developer
Warum die Zwei-Faktor-Authentifizierung sicherer ist

Authentifizierung: einer reicht nicht

Lange Zeit reichte die Kombination aus Benutzername und Passwort aus, um einen Benutzer sicher zu identifizieren. Inzwischen gelangen diese Zugangsdaten immer öfter in falsche Hände. Also muss ein zusätzlicher Faktor die Authentifizierung absichern, wenn man wirklich auf Nummer sicher gehen will.

Carsten Eilers


Seit einigen Jahren gibt es immer wieder Berichte über große Passwortlecks. Zum Beispiel, weil es mal wieder ein Serverbetreiber mit der Sicherheit nicht genau genug genommen hat und sein Server Opfer eines Angriffs wurde, bei dem die komplette Benutzerdatenbank kopiert wurde. Oder weil Phisher große Datenmengen gesammelt haben, die dann irgendwo als riesige Datei aufgetaucht sind. Oder weil ein Botnet oder spezielle Spyware Zugangsdaten ausgespäht und an einen Server geschickt hat und jemand dort auf die gesammelten Daten gestoßen ist.

Im kleineren Maßstab kann auch ein Man in the Mid­dle Zugangsdaten während der Übertragung ausspähen, ein vor allem bei unverschlüsselten Verbindungen und der Nutzung eines offenen WLANs nicht zu unterschätzendes Risiko, oder JavaScript-Code auf präparierten Websites über eine Schwachstelle im Webbrowser die Zugangsdaten aus dem Passwortmanager auslesen.

Es gibt viele Möglichkeiten, wie Cyberkriminelle an Zugangsdaten gelangen. Im Fall von auf Servern ausgespähten Passwörtern sind diese hoffentlich mithilfe einer speziell dafür vorgesehenen Funktion wie der „Password-Based Key Derivation Function 2“ (PBKDF2) oder crypt_blowfish/bcrypt gehasht worden [1]. Daran beißen sich Cyberkriminelle dann im Allgemeinen die Zähne aus, während einfache Hashwerte inzwischen schnell geknackt sind, mitunter sogar, wenn sie gesalzen sind. In allen anderen Fällen liegen Cyberkriminellen die Passwörter ohnehin als Klartext vor, sodass sie sie sofort missbrauchen können.

Der Benutzername und das zugehörige Passwort allein reichen also nicht mehr aus, um einen Benutzer sicher zu identifizieren. Damit die Authentifizierung wieder sicher ist, muss sie um einen weiteren Faktor ergänzt werden. Dabei darf an dieser Stelle aber ein wichtiger Hinweis nicht fehlen.

Auch zwei (oder noch mehr) Faktoren schützen nicht vor einem MitM

Eine Zwei-Faktor-Authentifizierung schützt nicht vor einem laufenden Man-in-the-Middle-Angriff: Da sich der Angreifer in der Verbindung zwischen Client und Server befindet, kann er sich nach erfolgreicher Authentifizierung durch den Benutzer gegenüber dem Server jederzeit als der betroffene Nutzer ausgeben (und gegenüber dem Nutzer als Server).

Aber während der Man in the Middle die belauschte Benutzername-Passwort-Kombination auch später noch jederzeit nutzen kann, um sich beim Server als Benutzer anzumelden, ist das bei einer Zwei-Faktor-Authentifizierung nicht möglich, da ihm der dafür zusätzlich benötigte zweite Faktor fehlt.

...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang