Zwei-Faktor-Authentifizierung: Gerüchte über ihr Ende sind übereilt

Laut dem Data Breach Report 2022 von Verizon basieren 82 Prozent der Verstöße auf Social-Engineering-Techniken oder der Ausnutzung menschlicher Schwächen. Um dieser Plage entgegenzuwirken, ist es heutzutage von entscheidender Bedeutung, die Authentifizierungsphase zu stärken. Obwohl Unternehmen des Öfteren die Zwei-Faktor-Authentifizierung als bewährte Sicherheitspraxis einsetzen, hat diese Methode verschiedene Schwächen.

Die Grenzen der Zwei-Faktor-Authentifizierung

In den letzten Jahren haben Cyberkriminelle ausgefeilte Techniken entwickelt, um die Zwei-Faktor-Authentifizierung zu umgehen. Eine der häufigsten Methoden besteht darin, nachgebildete Websites mit vorgefertigten Phishing-Kits zu erstellen. Diese Websites enthalten gefälschte Login-Seiten, um Benutzeranmeldeinformationen wie Codes oder Session-Cookies zu sammeln. Dies ist eine äußerst effektive Methode, da das Opfer transparent zur legitimen Website umgeleitet wird, ohne den Betrug zu bemerken.

Andere komplexere Techniken wie ausgeklügeltes Social Engineering werden ebenfalls eingesetzt, um ein Opfer dazu zu bringen, seinen Einmalkenncode durch Deep-Fake-Stimmtechniken oder durch die Umleitung von Telefonanrufen auf betrügerische Nummern preiszugeben.

Mit Brute-Force-Angriffen 2FA umgehen

Cyberkriminelle können die Zwei-Faktor-Authentifizierung auch mittels Brute-Force-Angriff umgehen, bei dem automatisch alle möglichen Varianten der Sicherheitscodes ausprobiert werden. In der Praxis sind diese Attacken jedoch selten, da sie Zeit erfordern und durch Firewall-Regeln unwirksam gemacht werden, die wiederholte Verbindungsversuche blockieren.

Noch seltener, aber genauso gefährlich sind sogenannte Man-in-the-Middle-Angriffe, bei denen ausgefeilte Techniken eingesetzt werden, um den 2FA-Code abzufangen, indem man sich in die Kommunikation zwischen dem Benutzer und der Anwendung einschleust. Zum Beispiel nutzen Attacken wie „SIM-Swapping“ die Option der Telefonnummernportierung des Smartphones bei einem Mobilfunkanbieter illegal aus, um die Bestätigungs-SMS mit den 2FA-Parametern des Opfers zu erhalten. Diese Methoden sind Alternativen zum physischen Diebstahl eines Computers oder eines Mobiltelefons.

Voller Zugriff auf E-Mail-Konten der Opfer

Bereits im Jahr 2018 warnte Amnesty International vor den Schwachstellen der Zwei-Faktor-Authentifizierung. Amnesty Tech untersuchte damals eine umfangreiche und ausgeklügelte Phishing-Kampagne gegen Journalisten und Menschenrechtsverteidiger im Nahen Osten und Nordafrika. Dabei hatten Cyberkriminelle gefälschte Google- und Yahoo-Authentifizierungsseiten erstellt. Sobald die Benutzer ihre E-Mail-Adresse eingegeben hatten, forderte die bösartige Benutzeroberfläche die Anwender auf, den ihnen gerade per SMS zugesandten sechsstelligen Authentifizierungscode einzugeben. Indem die Cyberkriminellen sowohl die Anmeldedaten als auch den zweiten Authentifizierungsfaktor kannten, hatten die Angreifer vollen Zugriff auf die E-Mail-Konten ihrer Opfer.

Ist die Zwei-Faktor-Authentifizierung immer noch zuverlässig?

Die Zwei-Faktor-Authentifizierung ist tatsächlich deutlich zuverlässiger als ein einfaches Passwort. Um möglichen Umgehungsversuchen entgegenzuwirken, ist es jedoch dringend erforderlich, sie mit zusätzlichen Maßnahmen zu stärken.

Eine Möglichkeit, den Zugriff sicherer zu machen, besteht darin, die Anzahl der Überprüfungsfaktoren durch die Verwendung der Mehr-Faktor-Authentifizierung (MFA) zu erhöhen. Die Mehr-Faktor-Authentifizierung erfordert den Einsatz verschiedener Überprüfungselemente, um einer Person oder einer Maschine Zugriff zu gewähren.

Gemäß den offiziellen Empfehlungen der ANSSI werden diese Faktoren in vier Kategorien eingeteilt, darunter:

  • Bekannte Faktoren wie ein Passwort oder eine Sicherheitsfrage;
  • wie ein physischer Sicherheitstoken (eine Smartcard, ein SecurID-Schlüssel) oder ein digitaler Token (ein Telefon, eine mobile Anwendung), der einen eindeutigen und temporären Code (OTP) generiert;
  • angeborene Faktoren wie biometrische Merkmale, DNS, Fingerabdrücke, Netzhautmuster, Gesichtserkennung und Spracherkennung;
  • oder produzierte Faktoren wie Standort, Aktionen und Verhaltensanalyse.
Out-of-band-Authentifizierung oder Deep-Voice-Detection-Technologie

Es gibt bereits verschiedene Lösungen, die noch mehr Sicherheit bieten. Dazu gehört die Out-of-band-Authentifizierung (OOBA), bei der Anwender über zwei verschiedene Kommunikationskanäle verifiziert werden. In diesem Fall könnte ein Faktor über ein LAN-Netz kommuniziert werden, während ein anderer über das 4G/5G-Netzwerk übermittelt wird – ergo eine Kanaltrennung für erhöhte Sicherheit. Ein weiterer Ansatz ist die Deep-Voice-Detection-Technologie, die von einer KI erzeugte Stimmen erkennt. Diese Techniken haben jedoch aufgrund hoher Implementierungskosten noch eine nur geringfügige Bedeutung.

Es ist also wichtig zu erkennen, dass die 2FA und in geringerem Maße die MFA anfällig für hochentwickelte Cyberangriffe sein können. Die Hinzufügung eines zweiten, auch schwachen Authentifizierungsfaktors macht den Benutzer aber im Vergleich zur Verwendung eines einzigen Faktors nicht anfälliger. Im Gegenteil! Deshalb sind diese Authentifizierungsmethoden noch nicht veraltet: Sie können die meisten gängigen Cyberangriffe abwehren.

Die korrekte Implementierung der Zwei-Faktor-Authentifizierung bleibt ein Schlüsselfaktor, um ausreichenden Schutz für den Zugriff auf Unternehmensressourcen zu gewährleisten. Die Einführung eines dritten oder sogar vierten Authentifizierungsfaktors für bestimmte Benutzer (Systemadministrator und andere VIPs des Unternehmens) sowie der Einsatz mehrerer Kommunikationskanäle können die Schwachstellen des Authentifizierungsprozesses weiter reduzieren. Wie so oft geht es auch hier um eine angemessene Risikobewertung und die erforderliche Investitionsbereitschaft zur Risikominimierung.

Sébastien Viou

ist Direktor für Cybersicherheit und Produktmanagement bei Stormshield.

Roger Homrich

Recent Posts

Sicherheitsaspekte im Online-Gaming

Sowohl „just for fun“ als auch als ernster Liga-Wettkampf oder als Glücksspiel mit echtem Geld…

6 Minuten ago

Digitale Richterassistenten für Justiz Baden-Württemberg

KI soll Richter in der Sozialgerichtsbarkeit entlasten, indem die Aktenstrukturierung vereinfacht wird.

4 Stunden ago

Autonome KI Sales Agents unterstützen Vertrieb

Einstein Sales Development Rep (SDR) Agent und Einstein Sales Coach Agent von Salesforce werden ab…

19 Stunden ago

All-Flash-Rechenzentren senken Energiekonsum durch KI

KI und ihre riesigen Datenmengen stellen die ohnehin schon überlasteten Rechenzentren vor echte Herausforderungen, warnt…

3 Tagen ago

Digitaler Zwilling hilft Hofbieber zur Erreichung der Klimaziele

Die hessische Gemeinde plant, bis 2030 klimaneutral zu werden, indem sie einen Digitalen Zwilling von…

3 Tagen ago

Stromversorgung und Kühlung im KI-Rechenzentrum

Durch Künstliche Intelligenz verändert sich die Infrastruktur von Rechenzentren grundlegend, sagt Anton Chuchkov von Vertiv.

3 Tagen ago