99,9 % Sicherheit durch Mehrfaktor-Authentifizierung

13.
Sep
2019
Multifaktor-Authentifizierung, Passwortregel, Passwortstärke, sichere Passwörter

Ein mindestens 12-stelliges Passwort mit Sonderzeichen und Zahlen? Nie das gleiche Passwort für mehrere Logins? Oder besser gleich Passphrases? Alles Quatsch meint Microsoft! Anstatt sich intensiv mit Kennwortregeln zu beschäftigen, sollten Sie besser auf Zwei-Faktor bzw. Mehrfaktor-Authentifizierung setzen.

»Wenn es um die Zusammensetzung und die Länge geht, spielt Ihr Passwort (meistens) keine Rolle. Mittels einer Mehrfaktor-Authentifizierung können 99,9 % aller Angriffe abgewehrt werden!»

Diese, wie wir finden überraschenden Aussagen stammen nicht von uns, sondern von Alex Weinert, Leiter des Programms für Identitätsschutz bei Microsoft. Nachzulesen ist das im Blogbeitrag mit dem Titel «Your Pa$$word doesn’t matter». Und das ist nicht das einzige Microsoft Statement zum Thema Passwort. Erst im Mai 2019 veröffentlichte Microsoft ein Statement gegen das regelmäßige Ändern von Passwörtern. Aber, was hilft denn dann gegen die ca. 300 Millionen Angriffe auf Online Konten von Microsoft-Nutzern sowie gegen die Attacken auf alle Nicht-Microsoft Remote-, Cloud und Web-Logins? Und wieso sind Passwörter plötzlich unwichtig?

Angriffsmethoden bei denen Passwörter versagen

Angreifer werden nur dann kreativ, wenn es keinen einfacheren Weg gibt Passwörter und damit digitale Identitäten zu stehlen. Außerdem muss sich der zusätzliche Aufwand bzw. die zu erwartenden Beute lohnen. Wenn Sie noch kein Opfer einer Attacke waren, dann sind Sie entweder sehr gut oder es Sie machen nach außen den Anschein, dass nichts zu holen ist. Der zweite Punkt ist auch irgendwie unbefriedigend! Falls eines Ihrer Online-Konten oder Ihrer Zugänge bereits «gehackt» wurden, dann finden Sie nachfolgend eine der Angriffsmethoden, die Ihre Abwehr wahrscheinlich überlistet hat:

  • Häufig bestehen Logins aus eMail-Adresse und Passwort. Credential Stuffing macht sich diesen Umstand zu Nutze und überprüft bereits gestohlene Anmeldedaten auf Validität. Egal wie komplex und stark Ihr Passwort auch immer sein mag: Bei dieser Angriffsmethode spielt die Passwortstärke keine Rolle, denn es ist bereits bekannt. Credential Stuffing kommt täglich mehr als 20 Millionen Mal vor. Sind für die erfolgreiche Anmeldung allerdings weitere Faktoren wie ein Einmalkennwort (OTP), ein persönliches Device oder biometrische Merkmale notwendig führt Credential Stuffing den Angreifer ins Leere.
  • Bei Phishing bzw. Man-in-the-Middle Angriffen geben Sie den Hackern Ihr Passwort sogar freiwillig. «Ihre Bank» oder irgendein Online-Service, den Sie auch tatsächlich nutzen, schickt Ihnen eine eMail und fragt zur Sicherheit Ihre Anmeldedaten erneut ab oder verspricht Ihnen ein kostenloses «Was-auch-immer» wenn Sie sich hier und jetzt sofort anmelden. Das Portal ist ein Fake, Ihre Anmeldedaten sind korrekt und schon ist es passiert. Auch hier hilft Ihnen ein komplexes Passwort nicht. Man geht davon aus, dass 0,5% aller eMails Phishing-.Mails sind. Bei ca. 293 Milliarden (Quelle: Statista.com) eMails pro Tag, ist das Risiko durch Phishing mit knapp 1,5 Milliarden täglichen Angriffen sehr hoch. Im Gegensatz zu früher sind Phishing-Mails heute nur noch sehr schwer zu identifizieren. Lediglich der gesunde Menschenverstand, hohe Wachsamkeit und Mehrfaktor Authentifizierung können hier helfen.
  • Bei Keystroke Logging oder Malware-Sniffing erfasst und überträgt Malware Ihre Tastatureingaben und damit u.a. auch die eingegebenen Anmeldedaten. Diese Methode ist für Hacker sub-optimal, da aus der Fülle der Eingaben erst Anmeldenamen und Passwort herausgefiltert werden müssen. Trotzdem kommt auch diese Variante laut Microsoft sehr häufig vor.
  • Spray-and-pray: Dieser Begriff aus dem unkoordinierten Massen-Marketing ist bei Hackern unter dem Begriff Password-Spraying bekannt. Dabei werden typische Passwörter, die häufig verwendet werden, bei einer großen Anzahl von Nutzerkonten ausprobiert. Im Gegensatz zu Brute-Force-Attacken (Wörterbuch-Attacken) ist Password-Spraying eine gezieltere Form des Angriffs. Diese Art wird auch «Low and Spray» genannt, weil durch die große Anzahl der damit attackierten Konten, die Richtlinien zur Kontosperrung (Anzahl fehlerhafter Anmeldungen in einer festgelegten Zeit) ausgehebelt werden können. Password-Spraying kommt im Gegensatz zu den viel bekannteren Brute-Force-Attacken sehr häufig vor und macht 16% aller Angriffe aus. Wenn Sie Passwörter wie «Passwort», «Passwort123» oder «qwertz» etc. verwenden, gehören Sie früher oder später ganz sicher zu den Password-Spraying-Opfern. Komplexe und starke Passwörter können hier einen Unterschied machen. Der Einsatz einer Mehrfaktor Authentifizierung schützt Sie auch hier garantiert!
  • Während die oben aufgeführten Angriffsmethoden sehr häufig bis häufig vorkommen, werden Accounts seltener durch Verfahren mit den komisch klingenden Namen Dumpster Diving, Network Scanning, Blackmail, AD-Extraktion oder Insider Threat angegriffen.

Bei drei der vier häufigsten Angriffsmethoden ist die Passwortstärke (Länge und Komplexität des Passworts) also irrelevant. Die Ausnahme ist Password-Spraying. Microsoft empfiehlt trotzdem ein Passwort > 8 Zeichen inkl. Sonderzeichen und Zahlen zu verwenden. Und möglichst keine bekannten Begriffe, die im Zusammenhang mit Ihrem Namen und/oder der Anmeldung stehen (z.B. Outlook123 für das Outlook Login) bzw. aus Zeichen, die auf der Tastatur nebeneinanderliegen. Eine Passwort-Manager App kann Ihnen helfen, komplexe Passwörter zu generieren und sich diese auch zu merken bzw. merken zu lassen.

 

Wie schützt Mehrfaktor Authentifizierung?

Statische Anmeldeverfahren sind also vielfach angreifbar. Oftmals sind der Name des Anmeldenden und die eMail Adresse bereits öffentlich bekannt. Bei der Zwei- oder Mehrfaktor Authentifizierung ist für die erfolgreiche Anmeldung mindestens ein weiterer Faktor erforderlich. Streng genommen spricht man erst dann von einer Zwei-Faktor-Authentifizierung, wenn mindestens zwei unterschiedliche Faktoren aus den Bereichen «Haben», «Sein» und «Wissen» abgefragt werden Das Passwort ist z.B. Ihr «Wissen». Außer es ist ein Kennwort, dass auch andere kennen. Biometrische Eigenschaften, wie ein Fingerabdruck, ein Passbild, Face ID etc. gehören zum Faktor «Sein». Chipkarte, Ausweis, EC-Karte, Hardware-Token oder eben auch Smartphones sind etwas was Sie haben.

Bei einer Zwei- bzw. Mehrfaktor Authentifizierung wird ein One-Time-Passcode (=numerisches Passwort) oder ein One-Time Password dem Anmeldenden erst dann zur Verfügung gestellt, wenn er sich durch die korrekte Kombination von Anmeldenamen und Passwort bereits authentifiziert hat. Wie der Name One-Time… bereits ausdrückt handelt es sich hierbei um ein Einmalkennwort, dass nur für die aktuelle Anmeldung gültig ist. Meistens sind die OTPs sitzungs-basierend, d.h. sie funktionieren nur zusammen mit der ursprünglichen Session-ID. Das schließt Man-in the-Middle Angriffe damit per se aus, da der «Mittelsmann» eine neue Sitzung aufbauen muss, was wiederum eine neue Session-ID erzeugt.

Jetzt stellt sich noch die Frage, wie das OTP zum Anmeldenden kommt? Traditionelle Verfahren nutzen dabei einen Hardware-Token. Dieser erzeugt alle 6-Sekunden synchron zum Anmeldeserver einen neuen Passcode. Gibt der Anmeldende den Passcode innerhalb der vorgeschriebenen Zeit ein, bekommt er den gewünschten Zugang. Der Nachteil: Hardware-Token sind ein zusätzliches Device, dass nicht vergessen werden darf und die Zwei-Faktor Authentifizierung kostspielig macht. Auch für das Online-Banking gibt es TAN-Generatoren, aber die Mehrzahl der Kunden nutzen Apps auf dem Smartphone zur Freigabe von Bankgeschäften. Auch bei der Zwei-Faktor Authentifizierung gibt es neue und sichere Verfahren die sich dort Push-Notification und Soft-Token nennen. Beide Verfahren haben eine hohe Usability, was deren Akzeptanz beim Anwender erhöht. Der SMS Passcode dagegen spielt, wie die SMS-TAN nach dem PSD2-Update bei Banken kaum mehr eine Rolle.

Gibt es durch Mehrfaktor-Authentifizierung auch einen Mehrwert?

 

Push Notification über Smart Device

Im Prinzip sind auch Mehrfaktor-Authentifizierungen per Definition nur Zwei-Faktor Authentifizierungen, dann auch sie bestehen nur aus den oben erwähnten zwei Faktoren aus 3 Bereichen. Bei dem Begriff handelt es sich also um ca. 60% Marketing und 40% Wahrheit. Bleiben wir zur Erklärung der Unterschiede bei der Push-Notificationen (siehe Bild): Wird hier zusätzlich zur Freigabe der Anmeldung eine zusätzliche PIN abgefragt, dann spricht der Werbende bereits von einer Mehrfaktor-Authentifizierung.

Genauer betrachtet wird allerdings nur der Faktor «Haben» ein zweites Mal für die Anmeldung bemüht. Trotzdem erreicht man bei der Push-Notification mehr Sicherheit, wenn der Anwender sein Smartphone so konfiguriert hat, dass Mitteilungen nicht im Sperrbildschirm für Außenstehende sichtbar sind. Hier schützt eine zusätzliche PIN durchaus. Neben einer PIN können auch biometrische Merkmale wie z.B. Face ID oder ein Fingerabdruck, Geofencing, Begrenzung auf IP-Adressbereiche, ungewöhnliches Anwenderverhalten zusätzliche Soft-Facts sein, die auch tatsächlich zusätzliche Sicherheit bringen. Viele 2FA-Lösungen wurden durch die Nutzung moderner Smartphones als Empfänger oder OTP-Generator praktisch zufällig zu Mehrfaktor-Authentifizierungen.

Fazit:

Mobilität, BYOD und Notwendigkeit auf wichtige Daten und Informationen von überall zu jederzeit zugreifen zu können, sind die Treiber für steigende Cloud-, Web- und Remote-Zugriffe. Das freut Hacker und Cyberkriminelle, dann deren Chancen auf Erfolg steigen. Zwei- oder Mehrfaktor-Authentifizierungen sind durch einen einmalig gültigen und sitzungs-basierenden OTP die zweite sichere Verteidigungslinie. Vertrauen Sie beim Remote-Access nicht mehr auf statische Anmeldeverfahren. Tempura mutantur et nos mutamur in illis…ob wir wollen oder nicht!

Einen «Ratgeber Zwei-Faktor Authentifizierung» finden Sie hier. Dieser beleuchtet die verschiedenen Aspekte sicherer Anmeldeverfahren.

Chefredakteur und Geschäftsführer der ProSoft GmbH

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 

Der ProBlog

ist ein Angebot der

ProSoft GmbH
Bürgermeister-Graf-Ring 10
82538 Geretsried

 

Kontakt und Support

Telefon +49 (0) 8171/405-0
Fax  + 49 (0) 8171/405-400
info@prosoft.de

Share This