Wie eine 2-Faktor-Authentifizierung für Sicherheit sorgt

Unsichere Kennwörter.

Ein allgemeines Problem. Im Finanzbereich hat man hierfür bereits seit vielen Jahren eine Lösung.

Erfahren Sie was es mit einer 2-Faktor-Authentifizierung auf sich hat und wie Sie hiermit Ihre Daten und Accounts zuverlässig schützen können.

 

Nr. 1 Angriffsversuch

Noch immer wird von Kriminellen die sogenannte Brute-Force Methode – also das Testen mit gängigen Passwörtern – beim Knacken von Accounts als Nr. 1 Angriff verwendet. Aber Warum?

Viele verwenden einfach unbrauchbare, unsichere Kennwörter. Bei einem Datenleck bei Adobe wurden beispielsweise Kennwörter von über 38 Millionen Kunden gestohlen.

1,9 Millionen Kunden verwendeten „12345“ als Kennwort.

 

Mittlerweile existieren im Internet von den etlichen Datenskandalen bei namhaften Herstellern ganze Listen mit gängigen Passwörtern. Dies macht es den Angreifern natürlich noch leichter Ihren Account zu hacken.

Natürlich nutzen auch Geheimdienste wie NSA und Co. diese Chance um Zugriff auf Ihre Daten zu bekommen.

 

Grundlagen der 2-Faktor-Authentifizierung

Stellen Sie sich vor Sie möchten an der Tankstelle per Karte bezahlen. Sie benötigen hierfür hierzu genau zwei Dinge:

  • EC-Karte
  • PIN Code

 

Wird Ihre EC-Karte gestohlen, kann ein Angreifer damit noch nicht viel anfangen. Ebenso verhält es sich mit Ihrer PIN – ohne Karte ist diese ebenso nutzlos.

Dieses Konzept existiert schon seit Jahrzehnten. Mit Aufkommen des Online Bankings hat man dieses auch in die digitale Welt übertragen. Zunächst mit TAN Listen, später per SMS TAN Verfahren bzw. Smartphone App.

Für eine 2-Faktor-Authentifizierung brauchen Sie immer 2 Dinge:

  • Etwas wissen (PIN Code)
  • Etwas besitzen (EC-Karte)

 

Welchen Vorteil habe ich dadurch?

Selbst wenn Sie ein schlechtes Kennwort verwenden – was Sie bitte nicht tun sollten 🙂 – bleibt Ihr Account noch durch einen Faktor abgesichert.

Ebenso kann niemand auf Ihr Konto zugreifen, wenn sie den physischen Faktor (z.B. EC-Karte) verlieren oder gestohlen wird.

Sie benötigen immer 2 unabhängige Dinge zur Authentifizierung – auch ein Angreifer.

 

 

Welche Verfahren gibt es für 2-Faktor-Authentifizierung?

Im digitalen Bereich gibt es derzeit eine Vielzahl gängiger Systeme für eine sichere 2-Faktor-Authentifizierung.

 

SMS

Ein günstiges und sehr weit verbreitetes Konzept ist die SMS Authentifizierung. Bei der Einrichtung Ihres Kontos geben Sie einmalig Ihre Handynummer an.

Sobald Sie z.B. bei Ihrer eine Überweisung tätigen, wird Ihnen nach Login mit Ihrer PIN ein TAN Code per SMS auf das Handy geschickt.

Hierzu wird allerdings ebenso umfangreiche Infrastruktur (SMS Gateways, Verträge, etc.) benötigt, was die Kosten in die Höhe treibt. Und sind wir mal ehrlich – SMS ist so 1990, das muss nicht mehr sein …

 

Smartphone – TOTP

Deutlich moderner ist eine Authentifizierung per Smartphone App. So bieten viele Online Dienste auch eine 2-Faktor-Authentifizierung per Smartphone App an. Auch hier gibt es wieder zwei Arten.

Die gängigste Variante ist TOTP (Time-based One Time Password). Hierbei wird bei der Einrichtung einmalig ein geheimer Code (ähnlich einem Kennwort ausgetauscht).

Danach generiert eine spezielle App eine z.B. 6 stellige Ziffernfolge, die sich alle 30 Sekunden ändert.

Hierfür notwendige Software und Apps sind komplett frei verfügbar und deren Quellcode frei einsehbar. Damit verhindern Sie gleichzeitig vom Hersteller verdeckt eingebaute Sicherheitslücken und ersparen sich hohe Kosten.

 

Smartphone – HOTP

Zweiter Vertreter für Smartphones ist das HOTP Verfahren (HMAC-based One Time Password). Bei diesem Verfahren wird ein genau 1x gültiger Code generiert, der zum Login verwendet werden kann. Nach der Verwendung ist dieser dann ungültig.

Auch bei HOTP ist ein einmaliger Austausch eines geheimen Codes zur Einrichtung notwendig.

Im Vergleich zum TOTP Verfahren birgt HOTP ein Sicherheitsrisiko, da der Code gestohlen werden kann. Darüber hinaus ist die Implementierung etwas komplexer umzusetzen.

 

RSA-Token

Eine der ältesten und bekanntesten Methoden ist der RSA-Token. Dies ist ein kleiner Schlüsselanhänger, der in einem Rhythmus von 30 Sekunden einen wechselnden 6 stelligen Zahlencode anzeigt.

Von der Funktionsweise ist dieser also gleich mit dem TOTP Verfahren.

Diese Lösung ist leider sehr kostspielig, da sowohl die Schlüsselanhänger als auch Serverseitige Spezialsoftware benötigt wird. Hier können Sie mit Kosten im 4-stelligen Bereich rechnen. Das rentiert sich nur für große Unternehmen.

 

Keycard

Vergleichbar mit einer EC-Karte gibt es natürlich auch spezielle Key- oder Smartcards zur Authentifizierung. Allerdings geht der Trend immer mehr zur Authentifizierung per Smartphone.

Zusätzliche Karten sind da für viele nur unnötiger Ballast und gehen dadurch auch gerne verloren.

 

Vorteile einer Authentifizierung per Smartphone

Wir setzen bei StoreShelter auch primär auf eine Authentifizierung per Smartphone. Aber warum ist gerade das so sicher?

Genau genommen erreichen Sie dadurch 3 Hürden für einen Angreifer:

  • Er muss ihr Handy besitzen
  • … den Entsperrcode des Handys kennen
  • … das Passwort für den Login am Webservice kennen

 

Und sind wir mal ehrlich – die Wahrscheinlichkeit, dass alle 3 Dinge gleichzeitig zutreffen bevor Sie den Diebstahl merken geht sehr weit gegen 0.

 

Angriffsmöglichkeiten

Wo es Licht gibt, da gibt es leider auch Schatten. So auch bei der 2-Faktor-Authentifizierung.

Angriffspunkt ist immer der erste Austausch der Zugangscodes. Dieser Austausch darf untern keinen Umständen von Dritten abgehört oder mitgeschnitten werden.

Bei StoreShelter nutzen wir daher zum Austausch verschiedene, voneinander unabhängige Medien (Post, E-Mail, Anruf) für den Austausch kritischer Dokumente und Daten.

Sie sollten stets darauf achten, dass Ihr Anbieter Ihnen die Zugangsdaten über getrennte Medien übermittelt.

 

Dienste mit 2-Faktor-Authentifizierung

Mittlerweile bietet auch einige bekannte Dienste (darunter z.B. Google, Salesforce, Facebook) eine optionale 2-Faktor-Authentifizierung an.

Wenn Sie wissen möchten ob ein von Ihnen verwendeter Dienst die 2-Faktor Authentifizierung unterstützt können Sie einen Blick auf die Two Factor Auth List werfen.

 

Fazit

2-Faktor-Authentifizierung setzt sich langsam aber sicher für viele Bereiche durch. Leider bieten viele Firmen diese nur optional oder gegen Aufpreis an.

Was passiert hier mit den ungeschützten Kunden? Sind diese evtl. eine Gefahr für die restlichen Kunden, die bereits 2-Faktor-Authentifizierung benutzen?

Wir empfehlen Ihnen bei der Auswahl neuer Dienste immer auf eine 2-Faktor-Authentifizierung und sichere Übertragungswege beim ersten Austausch zu achten. Und denken Sie bitte an ausreichend komplexe Kennwörter.

Michael Kostka

Gründer und Geschäftsführer der EntekSystems GmbH. Bei StoreShelter verantwortet er die Bereiche IT-Infrastruktur, Sicherheit und Entwicklung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert