Zuhause Sicherheitsuhr Securitywatch: Macht Sie die Zwei-Faktor-Authentifizierung wirklich sicherer?

Securitywatch: Macht Sie die Zwei-Faktor-Authentifizierung wirklich sicherer?

Inhaltsverzeichnis:

Video: IT-Sicherheit verständlich erklärt: Zwei-Faktor-Authentisierung | BSI (Dezember 2024)

Video: IT-Sicherheit verständlich erklärt: Zwei-Faktor-Authentisierung | BSI (Dezember 2024)
Anonim

Diese Woche stöbere ich wieder in meinem bodenlosen Postkorb, um eine weitere Frage zur Zwei-Faktor-Authentifizierung (2FA) zu beantworten. Es ist ein Thema, das ich bereits angesprochen habe, aber angesichts des Umfangs und der Spezifität der Fragen, die ich dazu erhalten habe, ist es eindeutig ein Thema, über das viele Menschen nachdenken. Da ich 2FA für das Beste halte, was normale Leute tun können, um online sicher zu sein, bin ich mehr als glücklich, endlos darüber zu sprechen.

Die heutige Frage kam von Ted, der schrieb, ob 2FA-Systeme wirklich alles sind, was sie zu bieten haben. Bitte beachten Sie, dass Teds Brief der Kürze halber bearbeitet wurde. Ted beginnt seine Nachricht mit einem Verweis auf einige meiner anderen Artikel zu 2FA.

Sie haben geschrieben: "Sobald Sie Ihren Sicherheitsschlüssel registriert haben, sind SMS-Passcodes eine Sicherungsoption, falls Sie Ihren Schlüssel verlieren oder nicht mehr darauf zugreifen können." Wenn dies zutrifft, warum ist dieses Gerät dann sicherer als ein 2FA-SMS-Code? Wie Sie auch geschrieben haben: "Aber Telefone können gestohlen werden und SIM-Jacking ist anscheinend eine Sache, über die wir uns jetzt Sorgen machen müssen."
Was soll verhindern, dass jemand Google mitteilt, dass er Sie ist, den Sicherheitsschlüssel verloren hat und einen SMS-Code an Ihr gestohlenes / überhebliches Telefon gesendet werden muss? Wenn ich das richtig verstehe, ist dieses Gerät nicht sicherer als 2FA-SMS-Texte. Es ist viel praktischer, das ist sicher, aber ich verstehe nicht, wie sicher es ist.
Ist das Ergebnis all dessen, dass der Sicherheitsschlüssel Ihre Sicherheit erhöht, aber nur, weil Sie ihn mit größerer Wahrscheinlichkeit verwenden, und nicht, weil er von Natur aus sicherer als 2FA ist? Was vermisse ich?

Sie verpassen nichts, Ted. In der Tat sind Sie schlau, ein grundlegendes Problem zu erkennen, das einem Großteil der Sicherheit bei der Online-Authentifizierung zugrunde liegt: Wie können Sie sicher überprüfen, wer Personen sind, ohne dass diese Personen ihre Konten nicht wiederherstellen können?

Die 2FA-Grundlagen

Lassen Sie uns zuerst einige Grundlagen behandeln. Die Zwei-Faktor-Authentifizierung oder 2FA ist ein Sicherheitskonzept, bei dem Sie zwei Identitätsnachweise, sogenannte Faktoren, aus einer Liste von drei möglichen vorlegen müssen.

  • Etwas, das Sie kennen , z. B. ein Passwort.
  • Etwas, das du hast , wie ein Telefon.
  • Etwas, das du bist , wie dein Fingerabdruck.

In der Praxis bedeutet 2FA häufig eine zweite Aktion, die Sie nach Eingabe Ihres Kennworts ausführen, um sich bei einer Site oder einem Dienst anzumelden. Das Passwort ist der erste Faktor, und der zweite kann entweder eine SMS-Nachricht sein, die mit einem speziellen Code an Ihr Telefon gesendet wird, oder die Verwendung von Apples FaceID auf einem iPhone. Die Idee ist, dass ein Angreifer zwar erraten oder gestohlen werden kann, jedoch mit geringerer Wahrscheinlichkeit sowohl Ihr Kennwort als auch Ihren zweiten Faktor erhalten kann.

In seinem Brief fragt Ted speziell nach Hardware-2FA-Schlüsseln. Die YubiKey-Serie von Yubico ist wahrscheinlich die bekannteste Option, aber bei weitem nicht die einzige. Google hat seine eigenen Titan-Sicherheitsschlüssel und Nitrokey bietet einen Open-Source-Schlüssel, um nur zwei zu nennen.

Die praktischen Fallstricke

Kein Sicherheitssystem ist perfekt und 2FA ist nicht anders. Guemmy Kim, Produktmanagement-Leiter des Google Account Security-Teams, wies zu Recht darauf hin, dass viele der Systeme, auf die wir uns für die Kontowiederherstellung und 2FA verlassen, anfällig für Phishing sind. Hier verwenden die Bösewichte gefälschte Websites, um Sie zur Eingabe privater Informationen zu verleiten.

Ein cleverer Angreifer könnte Ihr Telefon möglicherweise mit einem RAS-Trojaner infizieren, mit dem er die an Ihr Gerät gesendeten SMS-Bestätigungscodes anzeigen oder sogar abfangen kann. Oder sie erstellen eine überzeugende Phishing-Seite, um Sie zur Eingabe eines einmaligen Codes zu verleiten, der mit einer App wie Google Authenticator generiert wurde. Sogar meine Option für Papiersicherungscodes könnte von einer Phishing-Site abgefangen werden, die mich zur Eingabe eines Codes verleitet hat.

Einer der exotischsten Angriffe wäre das SIM-Jacking, bei dem ein Angreifer Ihre SIM-Karte klont oder Ihre Telefongesellschaft dazu verleitet, Ihre SIM-Karte abzumelden, um Ihre SMS-Nachrichten abzufangen. In diesem Szenario kann sich der Angreifer sehr effektiv als Sie ausgeben, da er Ihre Telefonnummer als seine eigene verwenden kann.

Ein nicht so exotischer Angriff ist schlichtweg alter Verlust und Diebstahl. Wenn Ihr Telefon oder eine App auf Ihrem Telefon Ihr primärer Authentifikator ist und Sie es verlieren, wird dies Kopfschmerzen bereiten. Gleiches gilt für Hardwareschlüssel. Obwohl Hardware-Sicherheitsschlüssel wie Yubico YubiKey schwer zu knacken sind, können sie leicht verloren gehen.

Die Yubico Yubikey Series 5 gibt es in vielen verschiedenen Konfigurationen.

Das Problem der Kontowiederherstellung

Ted weist in seinem Brief darauf hin, dass in vielen Unternehmen zusätzlich zu einem Hardware-Sicherheitsschlüssel eine zweite 2FA-Methode eingerichtet werden muss. Bei Google müssen Sie beispielsweise entweder SMS verwenden, die Authenticator-App des Unternehmens installieren oder Ihr Gerät registrieren, um Push-Benachrichtigungen von Google zu erhalten, die Ihr Konto bestätigen. Sie benötigen anscheinend mindestens eine dieser drei Optionen als Backup für jede andere von Ihnen verwendete 2FA-Option, z. B. die Titan-Schlüssel von Google.

Auch wenn Sie einen zweiten Sicherheitsschlüssel als Backup registrieren, müssen Sie SMS-, Google Authenticator- oder Push-Benachrichtigungen aktivieren. Insbesondere, wenn Sie das erweiterte Schutzprogramm von Google verwenden möchten, ist die Registrierung eines zweiten Schlüssels erforderlich.

In ähnlicher Weise erfordert Twitter, dass Sie zusätzlich zu einem optionalen Hardware-Sicherheitsschlüssel entweder SMS-Codes oder eine Authentifizierungs-App verwenden. Leider können Sie bei Twitter immer nur einen Sicherheitsschlüssel registrieren.

Wie Ted betonte, sind diese alternativen Methoden technisch weniger sicher als die Verwendung eines Sicherheitsschlüssels an sich. Ich kann nur raten, warum diese Systeme auf diese Weise implementiert wurden, aber ich vermute, dass sie sicherstellen möchten, dass ihre Kunden immer auf ihre Konten zugreifen können. SMS-Codes und Authentifikator-Apps sind bewährte Optionen, die für die Benutzer leicht verständlich sind und keine zusätzlichen Geräte erfordern. SMS-Codes beheben auch das Problem des Gerätediebstahls. Wenn Sie Ihr Telefon verlieren oder es gestohlen wird, können Sie es aus der Ferne sperren, die SIM-Karte deaktivieren und ein neues Telefon erwerben, das die SMS-Codes für die Online-Verbindung erhalten kann.

Persönlich möchte ich mehrere Optionen zur Verfügung haben, weil ich, obwohl ich mir Sorgen um die Sicherheit mache, auch mich selbst kenne und weiß, dass ich ziemlich regelmäßig Dinge verliere oder zerstöre. Ich weiß, dass Leute, die 2FA noch nie benutzt haben, sehr besorgt sind, wenn sie 2FA benutzen, von ihrem Konto ausgeschlossen zu werden.

2FA ist eigentlich sehr gut

Es ist immer wichtig, die Nachteile eines Sicherheitssystems zu kennen, aber das macht das System nicht ungültig. Während 2FA seine Schwächen hat, war es enorm erfolgreich.

Auch hier müssen wir nur auf Google schauen. Das Unternehmen benötigte intern die Verwendung von Hardware-2FA-Schlüsseln, und die Ergebnisse sprechen für sich. Erfolgreiche Kontoübernahmen von Google-Mitarbeitern sind praktisch verschwunden. Dies ist besonders wichtig, da Google-Mitarbeiter aufgrund ihrer Position in der Technologiebranche und ihres (vermuteten) Wohlstands für gezielte Angriffe an erster Stelle stehen. Hier unternehmen Angreifer große Anstrengungen, um bestimmte Personen in einem Angriff anzugreifen. Es ist selten und in der Regel erfolgreich, wenn der Angreifer über ausreichende Mittel und Geduld verfügt.

Das Google Titan Security Key Bundle enthält USB-A- und Bluetooth-Schlüssel.

Die Einschränkung hierbei ist, dass Google einen bestimmten Typ von 2FA benötigt: Hardware-Sicherheitsschlüssel. Diese haben gegenüber anderen 2FA-Schemata den Vorteil, dass sie nur sehr schwer zu fischen oder auf andere Weise abzufangen sind. Einige sagen vielleicht unmöglich, aber ich habe gesehen, was mit der Titanic passiert ist und weiß es besser.

Dennoch sind die Methoden zum Abfangen von 2FA-SMS-Codes oder Authentifizierungstoken ziemlich exotisch und lassen sich nicht wirklich gut skalieren. Das heißt, sie werden wahrscheinlich nicht von einem durchschnittlichen Kriminellen verwendet, der versucht, mit einer durchschnittlichen Person wie Ihnen so schnell und einfach wie möglich etwas Geld zu verdienen.

Zu Teds Punkt: Hardware-Sicherheitsschlüssel sind der sicherste Weg, den wir bisher bei 2FA gesehen haben. Sie sind sehr schwer zu fischen und sehr schwer anzugreifen, obwohl sie nicht ohne ihre inhärenten Schwächen sind. Darüber hinaus sind 2FA-Hardwareschlüssel bis zu einem gewissen Grad zukunftssicher. Viele Unternehmen wenden sich von SMS-Codes ab, und einige haben sich sogar für passwortlose Anmeldungen entschieden, die sich ausschließlich auf Hardware-2FA-Schlüssel stützen, die den FIDO2-Standard verwenden. Wenn Sie jetzt einen Hardwareschlüssel verwenden, besteht eine gute Chance, dass Sie für die kommenden Jahre sicher sind.

Der Nitrokey FIDO U2F verspricht Open-Source-Sicherheit.

  • Zwei-Faktor-Authentifizierung: Wer hat es und wie wird es eingerichtet? Zwei-Faktor-Authentifizierung: Wer hat es und wie wird es eingerichtet?
  • Google: Phishing-Angriffe, die zwei Faktoren schlagen können, sind auf dem Vormarsch Google: Phishing-Angriffe, die zwei Faktoren schlagen können, sind auf dem Vormarsch
  • SecurityWatch: So werden Sie bei der Zwei-Faktor-Authentifizierung nicht gesperrt SecurityWatch: So werden Sie bei der Zwei-Faktor-Authentifizierung nicht gesperrt

So sicher Hardware-2FA-Schlüssel auch sind, für das größere Ökosystem müssen einige Kompromisse eingegangen werden, damit Sie nicht unnötig aus Ihrem Konto ausgeschlossen werden. 2FA muss eine Technologie sein, die die Leute tatsächlich nutzen, sonst ist sie überhaupt nichts wert.

Angesichts der Wahl denke ich, dass die meisten Leute App- und SMS-basierte 2FA-Optionen verwenden werden, da sie einfacher einzurichten und effektiv kostenlos sind. Dies sind möglicherweise nicht die bestmöglichen Optionen, aber sie funktionieren für die meisten Menschen sehr gut. Dies könnte sich jedoch bald ändern, da Sie in Google ein Mobilgerät mit Android 7.0 oder höher als Hardware-Sicherheitsschlüssel verwenden können.

Trotz seiner Einschränkungen ist 2FA wahrscheinlich das Beste für die Verbrauchersicherheit seit Antivirus. Es verhindert auf saubere und effektive Weise einige der verheerendsten Angriffe, ohne dass das Leben der Menschen zu komplex wird. Wenn Sie sich jedoch für 2FA entscheiden, wählen Sie eine für Sie sinnvolle Methode. Die Nichtverwendung von 2FA ist weitaus schädlicher als die Verwendung eines etwas weniger guten 2FA-Geschmacks.

Securitywatch: Macht Sie die Zwei-Faktor-Authentifizierung wirklich sicherer?