Keine sichere Authentifizierung unter dieser Nummer

Zugegeben, wir mögen Alex Weinert (Twitter: @alex_t_weinert), Leiter des Programms für Identitätsschutz bei Microsoft. In seinem Blog-Artikel «Your Pa$$word doesn’t matter», stellt er die bekannten Passwortregeln wie Passwortstärke und Wechselintervalle, den aktuellen Angriffsvektoren gegenüber. Sein Fazit lautet:

Traditionelle Passwörter und Password-Policies schützen gegen aktuelle Cyberangriffe nicht mehr!

Mit einer Zwei-Faktor Authentifizierung (2FA) bzw. einer Mehrfaktor-Authentifizierung (MFA), erreicht man dagegen einen 99,9%-igen Schutz. Bezogen auf die Weltbevölkerung, sind weniger als 0,1% aller Cyberangriffe auf Konten, die mit MFA geschützt werden, erfolgreich. 2FA und MFA sind Begriffe die häufig das gleiche beschreiben. Und wenn nicht, sind die Unterschiede zwischen einer Zwei-Faktor Authentifizierung und einer Mehrfaktor Authentifizierung in vielen Fällen nicht so entscheidend wie es die Begriffe andeuten.

Von MFA spricht man bereits, wenn die Authentifizierungs-App auf dem Smartphone zusätzlich mit biometrischen Merkmalen geschützt wird. «Geolocation» oder «Geofencing», also die Überprüfung von IP-Bereichen aus den sich die Anwender anmelden dürfen, klingen nach echtem Schutz, können aber relativ einfach überwunden werden. Aber jede Maßnahme zum Schutz von Identitäten, erschwert deren Diebstahl.

Trotzdem gilt auch beim Einsatz einer Mehrfaktor-Authentifizierung: «Wer nicht mit der Zeit geht, geht mit der Zeit!» Neben Hardware-Token, war der SMS-Passcode lange Zeit die Alternative, die am häufigsten eingesetzt wurde. In Sonderfällen wie z.B. im Homeoffice, kam auch mal das Voice-Call Verfahren zum Einsatz. Hierbei wurde, die für den Anwender hinterlegte Nummer angerufen. Der Nutzer musste einen, nur ihm bekannten statischen Passcode über die Telefontastatur eingeben. Beide Authentifizierungsverfahren werden von Microsoft als wenig sicher eingestuft. Der Grund liegt in der Technologie des analogen Telefonnetzes (AFeN).

Der englische Begriff dafür ist PSTN (Public Switched Telephone Network, manchmal auch POTS (Plain Old Telephone System). Er beschreibt eine analoge Sprachverbindung zwischen zwei Endgeräten mit automatischer Verbindung. Die Adresse des Angerufenen ist seine eindeutige Telefonnummer. Bis 1990 wurde hauptsächlich diese Technologie verwendet. Im Jahr 1980 begann die sukzessive Umrüstung auf ISDN (Integrated Services Digital Network) und damit auf ein digitales dienstintegriertes Universalnetz als Basis für VoIP.

PSTN-Verbindungen sind sozusagen der «kleinste gemeinsame Nenner» bei der Verbindung von analogen und digitalen Standards. Weltweit sind sehr viele unterschiedliche Endgeräte auf diesen Standard festgelegt. Bei der Entwicklung in den 90-ern des letzten Jahrtausends, stand definitiv nicht die Sicherheit im Vordergrund. Aufgrund von minimalen Übertragungsgeschwindigkeiten, mussten Nachrichten möglichst klein sein, um Empfänger zeitnah zu erreichen. Verschlüsselung bläht die Größe von Nachrichten auf. Während des Transports ist eine SMS aber durchaus verschlüsselt. Hier unterscheiden sich GSM-Netzwerke wenig, von der reinen Transportverschlüsselung nach dem TLS-Standard bei Datenübertragungen. Wird eine SMS in der Kurzmitteilungs-Zentrale zwischengespeichert, ist sie unverschlüsselt und damit im Klartext lesbar. Tatsächlich werden SMS-Nachrichten erst weitergeleitet, wenn sie auch empfangen werden können. Ist der Empfänger offline, werden seine Nachrichten bis zu 7 Tage in der Kurzmitteilungs-Zentrale unverschlüsselt gespeichert. Wird eine SMS von Netz zu Netz weitergereicht, ist sie für Man-in-the-Middle-Attacken angreifbar. Ein sogenannter IMSI-Catcher gaukelt ein Netzwerk vor und kann damit die Verschlüsselung deaktivieren bzw. SMS-Inhalte unbemerkt verändern.

Insofern verwundert es nicht, dass der SMS-Passcode und Voice-Call von Microsoft als unsicher eingestuft werden. Noch dazu wo es viele andere sichere Authentifizierungsverfahren gibt. Microsoft gibt die folgende Empfehlung: «Um es noch einmal zusammenzufassen: Sie sollten Mehrfaktor Authentifizierung (MFA) verwenden!

Welche Mehrfaktor Authentifizierung?

Sichere Authentifizierung: «Für die meisten Benutzer ist die App-basierte Authentifizierung auf ihren Mobilgeräten die richtige Antwort.»

Ob Sie nun den Microsoft Authenticator verwenden, oder eine Lösung, die sich wie SecurEnvoy MFA direkt in die Anmeldemasken Ihrer Remote-Access Plattformen integriert, bleibt Ihnen überlassen. Wichtig dabei ist, im Vorfeld alle möglichen Anmeldeszenarien und Gegebenheiten zu überdenken. Haben alle Nutzer ein Diensthandy oder sind sie bereit, eine Applikation zur sicheren Authentifizierung auch auf ihrem privaten Smartphone zu installieren? Haben ihre Nutzer meist eine Internetverbindung und können damit Online-Verfahren einsetzen? Reicht die sichere Authentifizierung z.B. über VPN, oder haben Sie mehrere Zugänge, die Sie absichern müssen?

  Unser Ratgeber 2 Faktor Authentifizierung mag Ihnen hier eine nützliche Hilfestellung sein.

Der Trend geht zu einer starken «passwortlosen» Mehrfaktor-Authentifizierung, wie sie der FIDO2 Standard etablieren will. Dieser basiert auf asymmetrischer Verschlüsselung und nutzt Faktoren wie Biometrie, vorhandene Hardware-Token (z.B. YubiKey), Smartcards oder integrierte TPM-Module für die sichere Authentifizierung. Hier müssen allerdings auch das Betriebssystem, der Browser oder die Applikation mitspielen d.h. FIDO2-kompatibel sein.

Fazit: «Es muss jedoch wiederholt werden, dass MFA wesentlich ist – wir diskutieren, welche MFA-Methode verwendet werden soll, nicht, ob MFA verwendet werden soll.» meint Microsoft abschließend. «Ein weiterer Faktor, der über die statische Anmeldung hinaus geht, erhöht die Kosten für Angreifer erheblich, weshalb die Kompromittierung von Nutzerkonten, die MFA verwenden, weniger als 0,1% der Gesamtbevölkerung beträgt.» Ein One Time Passcode (OTP) schützt Nutzerkonten dynamisch, durch einen nur einmalig gültigen Passcode. Den Original Blogbeitrag von Alex Weinert finden Sie hier.

SecurAccess bietet viele verschiedene Authentifizierungsverfahren in einer Lösung: Soft-Token App, Push-Notification, Hardware-Token. Der User kann die vorgegebenen Verfahren auswählen und situativ einsetzen. Die ebenfalls verfügbaren SMS Passcode Verfahren «Echtzeit» und «Vorab SMS», sind an die Session-ID gebunden. Versucht ein Hacker einen Angriff mit einer neuen Session-ID, funktioniert der erbeutete SMS Passcode nicht mehr.

«Stay safe out there!»

Weitere Blogbeiträge zu Homeoffice und Mehrfaktor-Authentifizierung
Sicheres Homeoffice: Unternehmen wollen jetzt reagieren
Multi-Faktor-Authentifizierung für das Homeoffice
Sicherheit geht vor im Homeoffice
Ratgeber Zwei-Faktor Authentifizierung