Phishing-resistente Multifaktor Authentifizierung

Was genau ist phishing-resistente Multifaktor Authentifizierung (MFA), welche Vorteile bietet sie, und was bedeutet sie für IT-Sicherheitsfachleute und ihre Unternehmen? Seit kurzem gibt es US-staatliche Anforderungen für die Implementierung von phishing-resistenter MFA. Dieses Konzept kann anfangs etwas abschreckend wirken, deshalb beginnen wir mit der Authentifizierung.

Authentifizierung ist der Prozess der Bestätigung der Identität einer Person. Mit anderen Worten: Ist der Nutzer wirklich die Person, der er vorgibt zu sein? Jedes Mal, wenn sich ein User mit seinem Benutzernamen und Kennwort bei einer Website anmeldet, authentifiziert er sich. Die Authentifizierung wird oft mit der Autorisierung gekoppelt. Sobald der Nutzer authentifiziert ist (d. h. die Identität bestätigt wurde), bestimmt die Autorisierung, was der Nutzer tun kann und was nicht. In diesem Beitrag geht es nun nur um die Authentifizierung.

Traditionell besteht die Authentifizierung aus einer Kombination von Benutzernamen und Kennwort. Der Benutzername gibt an, wer ein Nutzer ist, und die Kenntnis des Passworts bestätigt die Identität. Das Problem mit Passwörtern ist, dass sie für die Menschen mühsam und verwirrend und für Cyber-Angreifer relativ leicht zu knacken sind. Es gibt mehrere Möglichkeiten, wie ein Passwort kompromittiert werden kann: Passwort-Phishing-Websites, die die Passwörter ausspionieren, Malware, die die Passwörter aufzeichnen, Menschen, die schwache, leicht zu erratende Passwörter verwenden, Menschen, die dasselbe Passwort für mehrere Konten verwenden, und kompromittierte Websites. Passwörter haben sich als eine schwache Form der Authentifizierung erwiesen. Während sie vor zehn oder zwanzig Jahren vielleicht noch „gut genug“ waren, sind sie heute nicht mehr gut genug.

Infolgedessen wurde eine weitaus stärkere Form der Authentifizierung entwickelt, die so genannte Zwei-Faktor-Authentifizierung. Die Zwei-Faktor-Authentifizierung ist stärker, da der Name schon andeutet, dass zwei Faktoren erforderlich sind, normalerweise etwas, das der Nutzer weiß (das Passwort) und etwas, das er hat (das mobile Gerät) oder etwas, das der Nutzer ist (biometrische Daten). Auf diese Weise ist die Identität auch dann noch sicher, wenn das Passwort kompromittiert wurde, da ein Cyberangreifer keinen Zugriff auf die zweite Methode (z. B. Ihr mobiles Gerät) hat. Dieses Konzept ist vergleichbar mit einer Geldkarte, wenn man Geld abhebt. Um erfolgreich Geld abzuheben, benötigt man sowohl eine Geldkarte als auch die PIN (deshalb sollte man niemals die PIN auf die Geldkarte schreiben).

Probleme bei MFA

Diese mehrstufige Methode ist ein weitaus stärkerer Ansatz, der von vielen Unternehmen und Websites übernommen wird. In der Tat wird die Zwei-Faktor-Authentifizierung schnell zum Standard, da sie authentifizierungsbasierte Angriffe so wirksam abwehrt. Es gibt jedoch mehrere Probleme.

Ursprünglich war der gebräuchlichste Begriff die Zwei-Faktor-Authentifizierung, da es sich um zwei Faktoren handelt. Aber auch andere Bezeichnungen wie zweistufige Verifizierung, starke Authentifizierung und Einmalpasswort (OTP) werden häufig verwendet. Der Großteil der Branche scheint sich jedoch auf den Begriff der Multifaktor-Authentifizierung (MFA) zu einigen.  Oft sind die Leute verwirrt, weil sie denken, es gäbe Unterschiede zwischen diesen Begriffen (die es auch geben kann), aber im Allgemeinen beziehen sich diese Begriffe auf dieselbe Sache.

Leider verwenden wir nicht nur verschiedene Namen für die Lösung, sondern sie wird auch auf viele verschiedene Arten implementiert. Sie melden sich zunächst mit Ihrem Benutzernamen und Kennwort bei Ihrem Konto an, dann:

  1. Wird ein eindeutiger Code per SMS an das mobile Gerät gesendet.
  2. Wird ein eindeutiger Code in einer mobilen App auf dem mobilen Gerät generiert.
  3. Wird ein eindeutiger Code oder eine Anfrage an das mobile Gerät gesendet.

Es gibt noch andere Varianten der MFA, aber fast alle haben eine Schwäche: Es ist menschliche Interaktion erforderlich. Der Nutzer muss etwas mit dem Code machen. Und dort, wo menschliche Interaktion erforderlich ist, können Menschen gefälscht werden. Mit anderen Worten: Cyber-Angreifer können sich in den Authentifizierungsprozess einschleusen. Nachdem sich ein Opfer bei einer Website angemeldet und seinen eindeutigen MFA-Code erhalten hat, kann dieser Code dem Opfer entlockt und von dem Cyberangreifer verwendet werden, um Zugang zur Website zu erhalten. Mit anderen Worten: Diese MFA-Ansätze sind „phishable“.

Phishing resistente MFA

Jede dieser MFA-Methoden ist exponentiell besser als Passwörter allein. Sollten Unternehmen also aufhören, MFA zu verwenden, weil sie „phishable“ sind? Auf keinen Fall, sie sind von großem Wert. Aber die Cyberangreifer werden immer besser darin, die menschliche Seite dieses Problems auszunutzen. Was kommt also als Nächstes? Phishing-resistente MFA. Phishing-resistente MFA ist nichts anderes als der gleiche Authentifizierungsprozess, der gerade beschrieben wurde, nur dass die Menschen aus der Gleichung entfernt werden. Es gibt verschiedene Möglichkeiten, dies zu implementieren, der am weitesten verbreitete Ansatz wird FIDO genannt.

FIDO ist ein Standard, der vor Jahren von der FIDO Alliance, einem gemeinnützigen Zusammenschluss mehrerer Organisationen aus der ganzen Welt, entwickelt wurde.  Es handelt sich um einen herstellerneutralen Standard, der von den meisten großen Unternehmen, darunter Google, Amazon, Microsoft und Apple, übernommen wurde. Wenn man von „WebAuthn“ spricht, handelt es sich um die Technologie, die den FIDO-Standard unterstützt und bei der Umsetzung hilft. FIDO und WebAuthn beziehen sich auf einer hohen Ebene auf dieselbe Lösung.

Wenn ein Nutzer ein Online-Konto erstellt (oder ein bestehendes Konto für die Nutzung von FIDO aktualisieren), registriert dieser das Gerät auf der Website. Dieses Gerät kann ein spezieller Token sein (wie ein YubiKey) oder kann ein mobiles Gerät (z. B. ein Smartphone) als Token verwenden. Bei der Registrierung des Geräts erstellen das Gerät und die Website ein einzigartiges kryptografisches Schlüsselpaar für das Konto (bekannt als asymmetrische Verschlüsselung oder Public-Key-Kryptografie). Auf der Grundlage dieses Schlüsselpaars „kennt“ die Website das Gerät und vertraut diesem. Um sich künftig auf der Website anzumelden, loggt man sich einfach mit dem Gerät ein, oft ist kein Passwort erforderlich.

Aus der Sicht des Benutzers (die von Website zu Website und von Gerät zu Gerät variieren kann) geschieht nichts anderes, als dass er beim Besuch einer Website, für die er ein Konto erstellt hat, aufgefordert wird, sich mit dem Gerät zu verifizieren. Er kann dies tun, indem er das Gerät an den USB-Anschluss des Computers anschließen oder drahtlose Technologien wie NFC (Nahfeldkommunikation) verwendet. Um sicherzustellen, dass wirklich er das Gerät benutzt (im Gegensatz zu jemandem, der das Gerät stiehlt und versucht, sich als dieses anzumelden), wird er dazu aufgefordert, seine Identität anhand biometrischer Merkmale (Fingerabdruck, Gesichtsscan usw.) nachzuweisen. Aus der Sicht des Nutzers ist der gesamte Authentifizierungsprozess nichts anderes als Biometrie.

Was dies so effektiv macht, ist, dass es keinen eindeutigen Code gibt, der gefälscht oder ausgetrickst werden könnte. Fast alles geschieht zwischen dem Gerät und der Website.  Die einzige menschliche Interaktion ist die Biometrie, etwas, das die Menschen bereits jeden Tag tun.  Wir haben also eine Lösung, die nicht nur weitaus sicherer ist, da sie Phishing-Angriffen weitaus besser widersteht, sondern auch für die Menschen viel einfacher zu nutzen ist.  Sind mit dieser Technologie alle Risiken beseitigt?  Nein. Wenn sich diese Technologie durchsetzt, werden neue Angriffe entwickelt werden, aber es wird für Cyber-Angreifer viel schwieriger sein.

Passkey ist der Name, den die Mitglieder der FIDO Alliance dieser neuen Form der Authentifizierung gegeben haben, darunter Apple, Google und Microsoft. Tatsächlich hat Apple Passkeys als Teil von iOS16 und MacOS Ventura veröffentlicht. Andere große Unternehmen werden diese Funktionen bald ankündigen.

Fazit

FIDO ist extrem widerstandsfähig gegen Phishing-Angriffe, aber die Einführung von FIDO bedeutet nicht, dass eine Organisation gegen Phishing gewappnet ist. Eine große Anzahl von Phishing-Angriffen hat nichts mit Kennwörtern zu tun (infizierte E-Mail-Anhänge, BEC, Angriffe mit Anrufen unter dieser Telefonnummer usw.). Einige der effektivsten Phishing-E-Mails bestehen nur aus ein oder zwei Sätzen und einer Telefonnummer, die das Opfer anrufen soll. IT-Sicherheitsfachleute sollten also daran denken, dass „phishing-resistente MFA“ oder Standards wie FIDO unglaublich starke Authentifizierungsmechanismen sind, die sehr resistent gegen Phishing-Angriffe sind, aber es gibt eine riesige Anzahl von Phishing-Angriffen, die absolut nichts mit Authentifizierung zu tun haben.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Stunde ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

9 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago