30.04.2013

Multi-Faktor-Authentifizierung

Multi-Faktor-Authentifizierung Schwachstellen

Um den Begriff der Multi-Faktor-Authentifizierung zu erklären, muss man zunächst die verschiedenen Arten der Authentifizierung beschreiben. Hier also zunächst einige notwendige, wenn auch langwierige Erläuterung:

RSA hat eine gute, klare Definition der Authentifizierung formuliert:
„Die Authentifizierung ist ein Vorgang, bei dem eine Person oder eine Computersoftware ihre Identität nachweist, um Zugriff auf Informationen zu erhalten. Die Identität der Person ist eine einfache Aussage, z. B. die Login-ID für eine bestimmte Computeranwendung. Der zu erbringende Nachweis spielt bei dem Begriff die wichtigste Rolle.“

In dieser Definition ist bereits das größte Problem im Hinblick auf die Authentifizierung enthalten: Wie kann man sicherstellen, dass die Person an der Tür wirklich diejenige ist, die sie zu sein vorgibt? Ihre wahre Identität muss mithilfe einer Frage an diese Person überprüft werden. Es gibt verschiedene Fragekategorien für einen solchen Fall. Dabei handelt es sich um die folgenden Prüfmethoden:

  1. Etwas, das man weiß (Wissen)
  2. Etwas, das man besitzt
  3. Etwas, das man ist (persönliches Attribut)

Die erste Methode ist recht klar:

Hier ist sowohl ein Benutzername als auch ein Kennwort erforderlich. Diese Angaben muss sich der Benutzer merken, und diese Angaben bleiben zumindest eine Zeit lang unverändert. Um also auf das Account einer Person zugreifen zu können, reicht es aus, sich diese Angaben vom rechtmäßigen Eigentümer auf welche Weise auch immer zu beschaffen.

Vorteile:

  • Für jeden einfach zu nutzen
  • Relativ kostengünstige Implementierung

Nachteile:

  • Sichere Kennwörter müssen notwendigerweise komplex sein.
  • Kennwörter werden manchmal vergessen.
  • Es gibt keine weiteren Sicherheitsstufen, sodass es recht einfach ist, das Kennwort zu knacken (z. B. Wörterbuchangriff, Spyware, Social Engineering, Phishing).

Zum Erläutern der zweiten Methode müssen wir etwas weiter ausholen:

Diese Kategorie beschreibt z. B. Geräte im Besitz des Account-Eigentümers, wie etwa einen TAN-Generator, ein Mobiltelefon für den Empfang von mTANs, einen speziellen Token-Generator o. Ä. In den meisten Fällen sind die Codes, die mit solchen Geräten generiert werden, nur ein Mal verwendbare Kennwörter, die sich bei jeder Anmeldung ändern. Das ist im Hinblick auf die Sicherheit natürlich sinnvoll.

Das Ausspähen eines nur ein Mal verwendbaren Kennworts mithilfe eines Keyloggers oder einer Spyware nützt einem Unbefugten nicht unbedingt, um sich Zugang zum Account des Opfers verschaffen zu können (es sei denn, er ist in der Lage, den Browser zu kompromittieren, nachdem er den Computer mit einem speziellen Trojaner infiziert hat, doch das ist wieder eine ganz andere Geschichte). Schlauer wäre es hingegen, das betreffende Gerät zu stehlen, zumindest dann, wenn diese Authentifizierungsmethode nicht mit einer weiteren Methode kombiniert wird.

Vorteile:

  • Die Bandbreite möglicher Authentifizierungsgeräte ist groß.
  • Zusätzliche Einführung einer Sicherheitsstufe.

Nachteile:

  • Das Authentifizierungsgerät kann verloren gehen oder gestohlen werden.
  • Die Methode schafft ein falsches Gefühl der Sicherheit, wenn die Authentifizierung auf dem Anmeldegerät (z. B. Mobiltelefon) erfolgt.

Die dritte Methode ist ebenfalls schnell erklärt:

Zu dieser Kategorie zählen Fingerabdruck-, Iris-, DNA- und Spracherkennung sowie einige weitere persönliche Merkmale, kurz gesagt: biometrische Daten. Diese Merkmale gelten gemeinhin als diebstahlsicher, doch auch das ist nicht ganz richtig. Nicht immer ist es nötig, so wie in manchen Hollywood-Filmen dargestellt, mit dem Löffel einen Augapfel aus der Augenhöhle des Opfers zu entfernen, um sich illegalen Zugang zu dessen Accounts zu verschaffen. Oft reicht es schon aus, sich den mithilfe der Iris ermittelten Hashwert zu verschaffen, einen eindeutigen, errechneten Wert. Ebenso ist es durchaus möglich, eine Kopie eines Fingerabdrucks anzufertigen, die ihren Zweck aufs Beste erfüllt. Natürlich ist es in den meisten Fällen ziemlich aufwendig, biometrische Daten zu entwenden oder zu kopieren. Daher ist es ziemlich unwahrscheinlich, dass sich jemand auf diese Art und Weise beispielsweise unbefugten Zugriff auf eine Online-Spiele-Community wie Habbo Hotel verschafft. Diese Methode wird derzeit vorwiegend für ausgereifte Authentifizierungszwecke als Ein-Faktor-Authentifizierung oder als Teil einer Multi-Faktor-Authentifizierung genutzt.

Vorteile:

  • Höhere Sicherheitsstufe.
  • Es gibt keine Kennwörter, die man vergessen könnte.
  • Idealerweise können biometrische Identifizierungsmerkmale (Finger, Augen, usw.) nicht verloren gehen oder gar gestohlen werden.

Nachteile:

  • Höhere Implementierungskosten.
  • Wie jede andere Sicherheitslösung ist auch diese Methode nicht hundertprozentig sicher.
  • Es besteht die Gefahr, dass Dritte ein eindeutiges Bewegungsprofil der betreffenden Person erstellen könnten.
  • Wenn der errechnete Hashwert gestohlen wird, kann er nicht ersetzt werden.

Damit eine Zwei-Faktor-Authentifizierung vorliegt, muss eine Kombination von zwei verschiedenen, voneinander völlig unabhängigen Authentifizierungsmethoden eingesetzt werden. Eine Kombination aus Benutzername und Kennwort reicht nicht aus, da beide Merkmale Teil der ersten Authentifizierungsmethode sind. Damit eine Zwei-Faktor-Authentifizierung vorliegt, muss mindestens ein nur ein Mal verwendbares Kennwort an ein unabhängiges Gerät versendet werden, z. B. an ein Mobiltelefon. Im Regelfall ist eine Zwei-Faktor-Authentifizierung auch eine Zwei-Wege-Authentifizierung. Dies ist aber nicht der Fall, wenn das Anmeldegerät und das Empfangsgerät für das nur ein Mal verwendbare Kennwort identisch sind. In diesem Szenario fehlt das zweite, unabhängige Element. Man denke nur an eine Spyware auf dem betreffenden Smartphone, die in der Lage wäre, alle erforderlichen Anmeldedaten (Benutzername, Kennwort und das ein Mal verwendbare Kennwort) von nur einem einzigen Gerät auszuspionieren.

 

Praktische Probleme mit der digitalen Multi-Faktor-Authentifizierung auf Mobilgeräten

Im Folgenden geht es um die Probleme, mit denen sich viele Banken heutzutage konfrontiert sehen. Viele Anmeldevorgänge erfolgen über Mobilgeräte, was eine echte Zwei-Faktor-Authentifizierung (mit echter Zwei-Wege-Authentifizierung) schwieriger macht. Tatsächlich beobachten wir die Tendenz, dass immer mehr Banken im Hinblick auf ihre Authentifizierungsverfahren nicht Schritt halten. Spezielle Banking-Apps für Smartphones – sowohl offizielle, von den Banken herausgegebene Apps als auch Apps von Drittanbietern – werden immer beliebter. In der Regel verfügen diese Apps über keinerlei Multi-Faktor-Authentifizierung. Bei den meisten Banken wird diese Art der Authentifizierung als wenig benutzerfreundlich eingestuft. Sie möchten ihre Kunden nicht zumuten, dass diese jederzeit das spezielle Authentifizierungsgerät der Bank bzw. den biometrischen Scanner mit sich führen müssen, um beispielsweise den Kontostand abzurufen. Deshalb verzichten die Banken bei den Banking-Apps meist auf die Zwei-Wege-Authentifizierung oder gar auf jegliche Art der Zwei-Faktor-Authentifizierung.

Um diese Sicherheitsmängel zu kompensieren, implementieren manche Banken unterschiedliche Einschränkungen: Bei manchen Banken kann man mit der App nur Transaktionen bis zu einer gewissen Höchstsumme durchführen. Bei anderen können Kunden nur auf solche Konten Geld überweisen, auf die sie bereits in der Vergangenheit Überweisungen getätigt haben. Doch schon bald werden Bankkunden diese Einschränkungen ihrer Banking-Apps nicht mehr hinnehmen.

Um für das Online-Banking auf beliebigen Geräten eine echte Multi-Faktor-Authentifizierung zu schaffen, die GLEICHZEITIG AUCH benutzerfreundlich ist, werden künftig wahrscheinlich Lösungen genutzt, bei denen die biometrische Authentifizierung mithilfe des Mobilgeräts erfolgt. Offenbar zählen die Implementierungskosten bisher zu den größten Hemmnissen bei der Umsetzung derartiger Systeme. Es geht natürlich, wie immer, ums Geld. Als weitere Authentifizierungsmethode neben der Abfrage von Benutzernamen und Kennwort wäre die Nutzung der Daten auf der SIM-Karte zur Authentifizierung denkbar. Normalerweise sind Daten wie die IMEI- und IMSI-Seriennummer eindeutig und an die SIM-Karte gebunden, die im genutzten Gerät verwendet wird.

Und was schließen wir daraus?

Zweifelsohne sind Multi-Faktor-Authentifizierung und Mehrwege-Authentifizierung sicherer als Ein-Faktor- und Ein-Wege-Authentifizierung! Der Bedarf an sicheren, wirkungsvollen Authentifizierungsmethoden wird immer größer, insbesondere angesichts der ständigen Verfügbarkeit des Internets auf Mobilgeräten und der dadurch fast rund um die Uhr bestehenden Zugriffsmöglichkeit. Bei alldem muss jedoch für ein individuell ausgewogenes Verhältnis zwischen Benutzerfreundlichkeit und Sicherheitsanforderungen gesorgt werden.



Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein