+49 (0) 8171/405-0 info@proSoft.de

Keine sichere Authentifizierung unter dieser Nummer

05.
Dez
2020
FIDO2, Multifaktor-Authentifizierung, OTP, passwortlose Authentifizierung, Passwortstärke, sichere Passwörter, SMS Passcode

Microsoft empfiehlt dringend den Einsatz einer Mehrfaktor-Authentifizierung und relativiert die Schutzwirkung von Passwörtern und Passwortregeln. Eine sichere Authentifizierung mittels SMS-Passcode und Voice-Call ist nicht in jedem Fall gewährleistet.

Zugegeben, wir mögen Alex Weinert (Twitter: @alex_t_weinert), Leiter des Programms für Identitätsschutz bei Microsoft. In seinem Blog-Artikel «Your Pa$$word doesn’t matter», stellt er die bekannten Passwortregeln wie Passwortstärke und Wechselintervalle, den aktuellen Angriffsvektoren gegenüber. Sein Fazit lautet:

Traditionelle Passwörter und Password-Policies schützen gegen aktuelle Cyberangriffe nicht mehr!

Mit einer Zwei-Faktor Authentifizierung (2FA) bzw. einer Mehrfaktor-Authentifizierung (MFA), erreicht man dagegen einen 99,9%-igen Schutz. Bezogen auf die Weltbevölkerung, sind weniger als 0,1% aller Cyberangriffe auf Konten, die mit MFA geschützt werden, erfolgreich. 2FA und MFA sind Begriffe die häufig das gleiche beschreiben. Und wenn nicht, sind die Unterschiede zwischen einer Zwei-Faktor Authentifizierung und einer Mehrfaktor Authentifizierung in vielen Fällen nicht so entscheidend wie es die Begriffe andeuten.

Von MFA spricht man bereits, wenn die Authentifizierungs-App auf dem Smartphone zusätzlich mit biometrischen Merkmalen geschützt wird. «Geolocation» oder «Geofencing», also die Überprüfung von IP-Bereichen aus den sich die Anwender anmelden dürfen, klingen nach echtem Schutz, können aber relativ einfach überwunden werden. Aber jede Maßnahme zum Schutz von Identitäten, erschwert deren Diebstahl.

 

»Mehrfaktor-Authentifizierung ist essentiell!
Es stellt sich also nicht die Frage ob, sondern welche MFA eingesetzt werden soll.»

Trotzdem gilt auch beim Einsatz einer Mehrfaktor-Authentifizierung: «Wer nicht mit der Zeit geht, geht mit der Zeit!» Neben Hardware-Token, war der SMS-Passcode lange Zeit die Alternative, die am häufigsten eingesetzt wurde. In Sonderfällen wie z.B. im Homeoffice, kam auch mal das Voice-Call Verfahren zum Einsatz. Hierbei wurde, die für den Anwender hinterlegte Nummer angerufen. Der Nutzer musste einen, nur ihm bekannten statischen Passcode über die Telefontastatur eingeben. Beide Authentifizierungsverfahren werden von Microsoft als wenig sicher eingestuft. Der Grund liegt in der Technologie des analogen Telefonnetzes (AFeN).

Der englische Begriff dafür ist PSTN (Public Switched Telephone Network, manchmal auch POTS (Plain Old Telephone System). Er beschreibt eine analoge Sprachverbindung zwischen zwei Endgeräten mit automatischer Verbindung. Die Adresse des Angerufenen ist seine eindeutige Telefonnummer. Bis 1990 wurde hauptsächlich diese Technologie verwendet. Im Jahr 1980 begann die sukzessive Umrüstung auf ISDN (Integrated Services Digital Network) und damit auf ein digitales dienstintegriertes Universalnetz als Basis für VoIP.

PSTN-Verbindungen sind sozusagen der «kleinste gemeinsame Nenner» bei der Verbindung von analogen und digitalen Standards. Weltweit sind sehr viele unterschiedliche Endgeräte auf diesen Standard festgelegt. Bei der Entwicklung in den 90-ern des letzten Jahrtausends, stand definitiv nicht die Sicherheit im Vordergrund. Aufgrund von minimalen Übertragungsgeschwindigkeiten, mussten Nachrichten möglichst klein sein, um Empfänger zeitnah zu erreichen. Verschlüsselung bläht die Größe von Nachrichten auf. Während des Transports ist eine SMS aber durchaus verschlüsselt. Hier unterscheiden sich GSM-Netzwerke wenig, von der reinen Transportverschlüsselung nach dem TLS-Standard bei Datenübertragungen. Wird eine SMS in der Kurzmitteilungs-Zentrale zwischengespeichert, ist sie unverschlüsselt und damit im Klartext lesbar. Tatsächlich werden SMS-Nachrichten erst weitergeleitet, wenn sie auch empfangen werden können. Ist der Empfänger offline, werden seine Nachrichten bis zu 7 Tage in der Kurzmitteilungs-Zentrale unverschlüsselt gespeichert. Wird eine SMS von Netz zu Netz weitergereicht, ist sie für Man-in-the-Middle-Attacken angreifbar. Ein sogenannter IMSI-Catcher gaukelt ein Netzwerk vor und kann damit die Verschlüsselung deaktivieren bzw. SMS-Inhalte unbemerkt verändern.

Insofern verwundert es nicht, dass der SMS-Passcode und Voice-Call von Microsoft als unsicher eingestuft werden. Noch dazu wo es viele andere sichere Authentifizierungsverfahren gibt. Microsoft gibt die folgende Empfehlung: «Um es noch einmal zusammenzufassen: Sie sollten Mehrfaktor Authentifizierung (MFA) verwenden!

Welche Mehrfaktor Authentifizierung?

Sichere Authentifizierung: «Für die meisten Benutzer ist die App-basierte Authentifizierung auf ihren Mobilgeräten die richtige Antwort

Ob Sie nun den Microsoft Authenticator verwenden, oder eine Lösung, die sich wie SecurEnvoy MFA direkt in die Anmeldemasken Ihrer Remote-Access Plattformen integriert, bleibt Ihnen überlassen. Wichtig dabei ist, im Vorfeld alle möglichen Anmeldeszenarien und Gegebenheiten zu überdenken. Haben alle Nutzer ein Diensthandy oder sind sie bereit, eine Applikation zur sicheren Authentifizierung auch auf ihrem privaten Smartphone zu installieren? Haben ihre Nutzer meist eine Internetverbindung und können damit Online-Verfahren einsetzen? Reicht die sichere Authentifizierung z.B. über VPN, oder haben Sie mehrere Zugänge, die Sie absichern müssen?

Fazit  Unser Ratgeber 2 Faktor Authentifizierung mag Ihnen hier eine nützliche Hilfestellung sein.

Der Trend geht zu einer starken «passwortlosen» Mehrfaktor-Authentifizierung, wie sie der FIDO2 Standard etablieren will. Dieser basiert auf asymmetrischer Verschlüsselung und nutzt Faktoren wie Biometrie, vorhandene Hardware-Token (z.B. YubiKey), Smartcards oder integrierte TPM-Module für die sichere Authentifizierung. Hier müssen allerdings auch das Betriebssystem, der Browser oder die Applikation mitspielen d.h. FIDO2-kompatibel sein.

Fazit: «Es muss jedoch wiederholt werden, dass MFA wesentlich ist – wir diskutieren, welche MFA-Methode verwendet werden soll, nicht, ob MFA verwendet werden soll.» meint Microsoft abschließend. «Ein weiterer Faktor, der über die statische Anmeldung hinaus geht, erhöht die Kosten für Angreifer erheblich, weshalb die Kompromittierung von Nutzerkonten, die MFA verwenden, weniger als 0,1% der Gesamtbevölkerung beträgt.» Ein One Time Passcode (OTP) schützt Nutzerkonten dynamisch, durch einen nur einmalig gültigen Passcode. Den Original Blogbeitrag von Alex Weinert finden Sie hier.

SecurAccess bietet viele verschiedene Authentifizierungsverfahren in einer Lösung: Soft-Token App, Push-Notification, Hardware-Token. Der User kann die vorgegebenen Verfahren auswählen und situativ einsetzen. Die ebenfalls verfügbaren SMS Passcode Verfahren «Echtzeit» und «Vorab SMS», sind an die Session-ID gebunden. Versucht ein Hacker einen Angriff mit einer neuen Session-ID, funktioniert der erbeutete SMS Passcode nicht mehr.

«Stay safe out there!»

Weitere Blogbeiträge zu Homeoffice und Mehrfaktor-Authentifizierung
Sicheres Homeoffice: Unternehmen wollen jetzt reagieren
Multi-Faktor-Authentifizierung für das Homeoffice
Sicherheit geht vor im Homeoffice
Ratgeber Zwei-Faktor Authentifizierung

 

 

Pressemeldung über neue Funktionen in der PC-Fernwartung NetSupport Manager v14 https://t.co/lsqA3Wxyqh #NetSupport https://t.co/fMccbhQWAr
Exchange-Server Zero-Day: Bisheriger Workaround unzureichend | Security https://t.co/60oqR0imqh
Katholische DSK lässt Einwilligung in schlechtere ToMs zu #§91 https://t.co/RJuPY0KsYM https://t.co/kJ0DlWDY8Y
Steganografie - immer noch zu wenig bekannt
Aktuelles Beispiel: Backdoor in Windows-Logo für Angriff auf Regierungen versteckt
https://t.co/rZbmAGjBMx #windows #logo #steganografie #backdoor https://t.co/mFXDPSkmUD
Datenverschlüsselung durch eingeschleuste Software
#Hackerangriff auf katholischen Sozialdienstleister #SKM
https://t.co/PoLU0jr6cp https://t.co/Xv8f1qjSm3
Report: 3,5 % der Ransomware-Schwachstellen werden nicht erkannt https://t.co/rNy1olSHsi https://t.co/nw5AFKQ7wD
#ransomware Nach Verschlüsseln kommt jetzt Kopieren & Zerstören. Verschlüsseln ist aufwendig und fehleranfällig https://t.co/zR40zqRC28 https://t.co/pzvTpAbNRa
@heisec: Malware: Infektion durch Mausbewegung in Powerpoint https://t.co/r5aVTZnntp #FancyBear #PowerpointMalware
@heisec: Webbrowser Chrome 106: Neue Funktionen und 20 abgedichtete Sicherheitslecks https://t.co/nNLklnMuLq #Chrome #Update
#Deutschland steht weltweit auf Platz 5 bei #Ransomware Angriffen: Welche Unternehmen sind am stärksten betroffen?https://t.co/fJ4NFB8L8C https://t.co/vdojRcYfY6
@BSI_Bund: Das @BMBF_Bund bietet ein Themenblatt für die IT-Sicherheitsinhalte der Jahre 2021/2022 aus den Förderprogrammen #HorizonEurope & #DigitalEurope an https://t.co/QK0gCDh8jM
Zu den Zielgruppen zählen Industrie, #KMU, #StartUp|s und öffentlicher Sektor.
#DeutschlandDigitalSicherBSI
#Sophos Firewalls: Kritische Sicherheitslücke wird angegriffen. Sicherheitsupdates sind bereits verfügbar https://t.co/rnlLVv6dWT #Sicherheitslücke https://t.co/cThPYdz2P7
@BSI_Bund: Im Arbeitsalltag muss es oft schnell gehen. Eine Situation, die sich Cyber-Kriminelle vor allem in Sachen CEO-Fraud gern zu Nutze machen. Was hinter dieser Betrugsmasche steckt - wir erklären es euch. #DeutschlandDigitalSicherBSI #ITSicherheit #Sicherheit https://t.co/pDNGgHjbkr
#Russland plant laut ukrainischem Verteidigungsministerium massive Cyberangriffe auf kritische Infrastrukturen der Ukraine und Alliierter. https://t.co/zM63EmOvfh https://t.co/KeVzlVnvsM
@DSAgentur: Datenleck in Pinneberg: Tausende Menschen im Kreis betroffen https://t.co/Q7MN1sBhoU https://t.co/Dlcl1f3so0
PC-Fernwartung NetSupport Manager ist in der Version 14 verfügbar. https://t.co/rMMtNl5w0v https://t.co/cfAvG9vHKD
1574381493069250568
Angreifer könnten DNS-Server bind lahmlegen | Security https://t.co/EK3FdT1wdC
Brute-Force-Schutz: Microsoft aktiviert Anmeldebegrenzung für SMB | Security https://t.co/doaW3zLsK1
50.000 Kundendaten betroffen
Fintech-Startup #Revolut wurde gehackt https://t.co/6kw45ZDNzm https://t.co/WmzT6Fta0V

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This