Aus diesem Grund sagen die Leute, dass die Zwei-Faktor-Authentifizierung nicht perfekt ist

Als die Zwei-Faktor-Authentifizierung zum ersten Mal eingeführt wurde, revolutionierte sie die Gerätesicherheit und trug dazu bei, Identitätsdiebstahl erheblich zu erschweren – auf Kosten geringfügiger Unannehmlichkeiten bei der Anmeldung.

Aber es ist weder perfekt, noch hat es alle unsere Hacking- und Datendiebstahlprobleme gelöst. Einige aktuelle Nachrichten haben mehr Kontext dafür geliefert, wie Hacker die Zwei-Faktor-Authentifizierung umgehen und einen Teil unseres Vertrauens in sie untergraben haben.

Was genau ist Zwei-Faktor-Authentifizierung?

Die Zwei-Faktor-Authentifizierung fügt dem Anmeldeprozess für Geräte und Dienste eine zusätzliche Sicherheitsebene hinzu. Zuvor hatten Anmeldungen einen einzigen Faktor zur Authentifizierung – normalerweise ein Passwort oder eine biometrische Anmeldung wie ein Fingerabdruckscan oder eine Gesichts-ID, gelegentlich mit dem Hinzufügen von Sicherheitsfragen. Das bot eine gewisse Sicherheit, war aber alles andere als perfekt, insbesondere bei schwachen Passwörtern oder automatisch ausgefüllten Passwörtern (oder wenn Anmeldedatenbanken gehackt werden und diese Informationen im Dark Web auftauchen).

Die Zwei-Faktor-Authentifizierung geht diese Probleme an, indem sie einen zweiten Faktor hinzufügt, eine weitere Sache, die eine Person tun muss, um sicherzustellen, dass sie es wirklich ist und sie Zugriffsberechtigung hat. In der Regel bedeutet dies, dass über einen anderen Kanal ein Code gesendet wird, z. B. eine Textnachricht oder E-Mail vom Dienst, den Sie dann eingeben müssen.

Einige verwenden zeitabhängige Codes (TOTP, Time-Based One Time Password) und andere verwenden eindeutige Codes, die einem bestimmten Gerät zugeordnet sind (HOTP, HMAC-based One Time Password). Bestimmte kommerzielle Versionen können sogar zusätzliche physische Schlüssel verwenden, die Sie zur Hand haben müssen.

Die Sicherheitsfunktion ist so verbreitet geworden, dass Sie wahrscheinlich daran gewöhnt sind, Nachrichten wie „Wir haben Ihnen eine E-Mail mit einem sicheren Code zur Eingabe gesendet, bitte überprüfen Sie Ihren Spamfilter, wenn Sie ihn nicht erhalten haben.“ Dies ist am häufigsten bei neuen Geräten der Fall, und obwohl es ein wenig Zeit in Anspruch nimmt, ist es im Vergleich zu Ein-Faktor-Methoden ein großer Sicherheitssprung. Aber es gibt einige Mängel.

Das klingt ziemlich sicher. Was ist das Problem?

Kürzlich erschien ein Bericht des Cybersicherheitsunternehmens Sophos, der eine überraschende neue Methode beschreibt, mit der Hacker die Zwei-Faktor-Authentifizierung überspringen : Cookies. Betrüger haben „Cookies gestohlen“, was ihnen Zugriff auf praktisch alle Arten von Browsern, Webdiensten, E-Mail-Konten oder sogar Dateien verschafft.

Wie kommen diese Cyberkriminellen an diese Cookies? Nun, Sophos stellt fest, dass das Emotet-Botnet eine solche Malware ist, die Cookies stiehlt und auf Daten in Google Chrome-Browsern abzielt. Die Leute können auch gestohlene Cookies über unterirdische Marktplätze kaufen, was durch den jüngsten EA-Fall berühmt wurde, als Anmeldedaten auf einem Marktplatz namens Genesis landeten. Das Ergebnis waren 780 Gigabyte gestohlener Daten, mit denen versucht wurde, das Unternehmen zu erpressen.

Obwohl dies ein hochkarätiger Fall ist, ist die zugrunde liegende Methode bekannt und zeigt, dass die Zwei-Faktor-Authentifizierung alles andere als eine Wunderwaffe ist. Über den bloßen Cookie-Diebstahl hinaus gibt es eine Reihe weiterer Probleme, die im Laufe der Jahre identifiziert wurden:

• Wenn ein Hacker an Ihren Benutzernamen oder Ihr Passwort für einen Dienst gelangt ist , hat er möglicherweise Zugriff auf Ihre E-Mail-Adresse (insbesondere wenn Sie dasselbe Passwort verwenden) oder Ihre Telefonnummer. Dies ist besonders problematisch für die SMS/Text-basierte Zwei-Faktor-Authentifizierung, da Telefonnummern leicht zu finden sind und verwendet werden können, um Ihr Telefon (neben anderen Tricks) zu kopieren und den Textcode zu erhalten. Es erfordert mehr Arbeit, aber ein entschlossener Hacker hat immer noch einen klaren Weg nach vorne.
• Separate Apps für die Zwei-Faktor-Authentifizierung, wie Google Auth oder Duo, sind weitaus sicherer, aber die Akzeptanzraten sind sehr gering. Menschen neigen dazu, keine weitere App nur aus Sicherheitsgründen für einen einzelnen Dienst herunterzuladen, und Organisationen finden es viel einfacher, einfach zu fragen: „E-Mail oder Text?“ anstatt von Kunden zu verlangen, eine Drittanbieter-App herunterzuladen. Mit anderen Worten, die besten Arten der Zwei-Faktor-Authentifizierung werden nicht wirklich verwendet.
• Manchmal sind Passwörter zu einfach zurückzusetzen. Identitätsdiebe können genügend Informationen über ein Konto sammeln, um den Kundendienst anzurufen oder andere Wege zu finden, um ein neues Passwort anzufordern. Dies umgeht häufig eine damit verbundene Zwei-Faktor-Authentifizierung und ermöglicht Dieben, wenn es funktioniert, direkten Zugriff auf das Konto.
• Schwächere Formen der Zwei-Faktor-Authentifizierung bieten wenig Schutz vor Nationalstaaten. Regierungen verfügen über Tools, die der Zwei-Faktor-Authentifizierung leicht entgegenwirken können, einschließlich der Überwachung von SMS-Nachrichten, der Nötigung von Mobilfunkanbietern oder dem Abfangen von Authentifizierungscodes auf andere Weise. Das sind keine guten Nachrichten für diejenigen, die Wege suchen, ihre Daten vor totalitäreren Regimen zu schützen.
• Viele Datendiebstahlsysteme umgehen die Zwei-Faktor-Authentifizierung vollständig, indem sie sich stattdessen darauf konzentrieren, Menschen zu täuschen. Schauen Sie sich nur all die Phishing-Versuche an, die vorgeben, von Banken , Behörden, Internetanbietern usw. zu stammen und nach wichtigen Kontoinformationen zu fragen. Diese Phishing-Nachrichten können sehr echt aussehen und etwas beinhalten wie: „Wir brauchen Ihren Authentifizierungscode auf unserer Seite, damit wir auch bestätigen können, dass Sie der Kontoinhaber sind“ oder andere Tricks, um Codes zu erhalten.

Soll ich weiterhin die Zwei-Faktor-Authentifizierung verwenden?

Unbedingt. Tatsächlich sollten Sie Ihre Dienste und Geräte durchgehen und die Zwei-Faktor-Authentifizierung aktivieren, wo sie verfügbar ist. Es bietet eine deutlich bessere Sicherheit gegen Probleme wie Identitätsdiebstahl als ein einfacher Benutzername und ein Passwort.

Auch eine SMS-basierte Zwei-Faktor-Authentifizierung ist viel besser als gar keine. Tatsächlich hat das National Institute of Standards and Technology einmal davon abgeraten, SMS in der Zwei-Faktor-Authentifizierung zu verwenden, hat dies dann aber im nächsten Jahr zurückgenommen , weil es sich trotz der Mängel immer noch gelohnt hat.

Wählen Sie nach Möglichkeit eine Authentifizierungsmethode, die nicht mit Textnachrichten verbunden ist, und Sie haben eine bessere Form der Sicherheit. Achten Sie außerdem auf starke Passwörter und verwenden Sie einen Passwort-Manager, um sie für Anmeldungen zu generieren, wenn Sie können.

Wie kann die Zwei-Faktor-Authentifizierung verbessert werden?

Die Abkehr von der SMS-basierten Authentifizierung ist das große aktuelle Projekt. Es ist möglich, dass die Zwei-Faktor-Authentifizierung auf eine Handvoll Apps von Drittanbietern wie Duo übergeht , die viele der mit dem Prozess verbundenen Schwächen beseitigen. Und mehr risikoreiche Felder werden in die MFA oder Multi-Faktor-Authentifizierung übergehen, die eine dritte Anforderung hinzufügt, wie einen Fingerabdruck oder zusätzliche Sicherheitsfragen.

Der beste Weg, Probleme mit der Zwei-Faktor-Authentifizierung zu beseitigen, besteht jedoch darin, einen physischen, hardwarebasierten Aspekt einzuführen. Unternehmen und Behörden verlangen dies bereits für bestimmte Zugriffsebenen. In naher Zukunft besteht eine gute Chance, dass wir alle personalisierte Authentifizierungskarten in unseren Brieftaschen haben, die bereit sind, unsere Geräte zu durchziehen, wenn wir uns bei Diensten anmelden. Es mag jetzt seltsam klingen, aber mit dem steilen Anstieg von Cybersicherheitsangriffen könnte es am Ende die eleganteste Lösung sein.