
Der Spoiler aus dem Titel des Berichts "Die Zahl der Fälle strenger Authentifizierung ist aufgrund neuer Risiken und regulatorischer Anforderungen gestiegen".
Das Forschungsunternehmen „Javelin Strategy & Research“ hat den Bericht „The State of Strong Authentication 2019" veröffentlicht (). In diesem Bericht wird erläutert, welcher Anteil der amerikanischen und europäischen Unternehmen Passwörter verwendet (und warum Passwörter heutzutage kaum noch genutzt werden); warum der Anteil der Nutzung von Zwei-Faktor-Authentifizierung basierend auf kryptografischen Tokens so schnell wächst; warum Einmalcodes, die per SMS gesendet werden, unsicher sind.
Alle, die sich für die Themen der aktuellen, vergangenen und zukünftigen Authentifizierung in Unternehmen und Benutzeranwendungen interessieren – herzlich willkommen.
Vom Übersetzer
Leider ist die Sprache, in der dieser Bericht verfasst wurde, ziemlich "trocken" und formell. Und die fünfmalige Verwendung des Wortes "Authentifizierung" in einem kurzen Satz ist nicht das Ergebnis ungeschickter Hände (oder Köpfe) des Übersetzers, sondern eine Marotte der Autoren. Bei der Übersetzung habe ich manchmal die Wahl zwischen einer näher am Original orientierten und einer interessanteren Textversion getroffen. Aber haben Sie Geduld, liebe Leser, der Inhalt des Berichts ist es wert.
Einige unwesentliche und für die Erzählung nicht notwendige Teile wurden entfernt, sonst hätte die Mehrheit den gesamten Text nicht bewältigt. Wer den Bericht ohne Kürzungen einsehen möchte, kann dies in der Originalsprache über den Link tun.
Leider sind die Autoren nicht immer präzise mit der Terminologie. Gelegentlich bezeichnen sie Einmalpasswörter (One Time Password – OTP) mal als „Passwörter“ und mal als „Codes“. Bei den Authentifizierungsmethoden sieht es noch schlimmer aus. Für einen ungeschulten Leser ist es oft schwer zu erraten, dass „Authentifizierung mit kryptographischen Schlüsseln“ und „strenge Authentifizierung“ dasselbe bedeuten. Ich habe versucht, die Begriffe so einheitlich wie möglich zu gestalten; zudem enthält der Bericht ein Segment mit deren Beschreibung.
Dennoch ist der Bericht äußerst empfehlenswert, da er einzigartige Forschungsergebnisse und korrekte Schlussfolgerungen enthält.
Alle Zahlen und Fakten sind unverändert, und wenn Sie nicht einverstanden sind, sollten Sie nicht mit dem Übersetzer, sondern mit den Autoren des Berichts diskutieren. Meine Kommentare (in Form von Zitaten formatiert und im Text als kursiv) gekennzeichnet, sind meine subjektiven Einschätzungen, über die ich jederzeit gerne diskutieren würde (ebenso wie über die Qualität der Übersetzung).
Übersicht
In der heutigen Zeit sind digitale Kommunikationskanäle für Unternehmen wichtiger denn je. Auch innerhalb der Unternehmen richten sich die Kommunikationswege zwischen Mitarbeiter*innen mehr auf die digitale Umgebung als je zuvor. Die Sicherheit dieser Interaktionen hängt dabei stark von der gewählten Authentifizierungsmethode ab. Cyberkriminelle nutzen schwache Authentifizierungen, um massenhaft Benutzerkonten zu hacken. In Reaktion darauf verschärfen die Aufsichtsbehörden die Standards, um Unternehmen dazu zu bringen, die Konten und Daten der Nutzer besser zu schützen.
Bedrohungen im Zusammenhang mit Authentifizierung betreffen nicht nur Verbraucheranwendungen; Angreifer können auch auf Anwendungen zugreifen, die innerhalb von Unternehmen betrieben werden. Solche Vorgänge erlauben es ihnen, sich als Unternehmensbenutzer auszugeben. Angreifer, die Zugangspunkte mit schwacher Authentifizierung nutzen, können Daten stehlen und andere betrügerische Aktivitäten durchführen. Glücklicherweise gibt es Maßnahmen zur Bekämpfung dessen. Strenge Authentifizierung kann das Risiko von Angriffen durch Angreifer sowohl auf Verbraucheranwendungen als auch auf Unternehmenssysteme erheblich reduzieren.
Diese Studie behandelt: wie Unternehmen Authentifizierung implementieren, um Benutzeranwendungen und Geschäftssysteme zu schützen; Faktoren, die sie bei der Auswahl einer Authentifizierungslösung berücksichtigen; die Rolle, die strenge Authentifizierung in ihren Organisationen spielt; die Vorteile, die diese Organisationen daraus ziehen.
Zusammenfassung
Wesentliche Erkenntnisse
Seit 2017 ist der Anteil der Nutzung strenger Authentifizierung stark angestiegen. Mit der Zunahme von Schwachstellen, die traditionelle Authentifizierungslösungen betreffen, verstärken Organisationen ihre Authentifizierungsmethoden durch strenge Authentifizierungsmethoden. Die Anzahl der Organisationen, die mehrstufige Authentifizierung mit Kryptografie (MFA) verwenden, hat sich seit 2017 für Verbraucher verdreifacht und ist für Unternehmensanwendungen um fast 50 % gestiegen. Das schnellste Wachstum ist im Bereich der mobilen Authentifizierung zu verzeichnen, bedingt durch die steigende Verfügbarkeit biometrischer Authentifizierung.
Hier sehen wir eine Illustration des Sprichworts „Bis der Donner donnert, kreuzigt sich der Mann nicht“. Als Experten vor der Unzuverlässigkeit von Passwörtern warnten, zögerten viele, die Zwei-Faktor-Authentifizierung einzuführen. Sobald Hacker damit begannen, Passwörter zu stehlen, fingen die Leute an, die Zwei-Faktor-Authentifizierung zu implementieren.
Tatsächlich setzen private Personen viel aktiver auf die Zwei-Faktor-Authentifizierung. Erstens erleichtert es ihnen, ihre Ängste zu besänftigen, da sie auf die in Smartphones integrierte biometrische Authentifizierung vertrauen, die in der Praxis jedoch ziemlich unzuverlässig ist. Unternehmen hingegen müssen in den Erwerb von Tokens investieren und einfache Implementierungsarbeiten durchführen. Zweitens hat nur der Faulenzer nichts über die Passwortlecks bei Diensten wie Facebook und Dropbox gesagt. Darüber, wie in Unternehmen Passwörter gestohlen wurden (und was dann geschah), werden IT-Leiter unter keinen Umständen sprechen.
Wer keine strengen Authentifizierungsverfahren nutzt, unterschätzt das Risiko für sein Geschäft und seine Kunden. Einige Organisationen, die derzeit keine starke Authentifizierung einsetzen, betrachten Benutzernamen und Passwörter als eine der effektivsten und benutzerfreundlichsten Methoden zur Authentifizierung von Nutzern. Andere sehen keinen Wert in den digitalen Vermögenswerten, die sie besitzen. Dabei sollte bedacht werden, dass Cyberkriminelle an allen Arten von Verbraucher- und Geschäftsinformationen interessiert sind. Zwei Drittel der Unternehmen, die nur Passwörter zur Authentifizierung ihrer Mitarbeiter verwenden, tun dies, weil sie glauben, dass Passwörter für die Art von Informationen, die sie schützen, ausreichend sind.
Dennoch stehen Passwörter vor ihrem „Abschied“. Im vergangenen Jahr ist die Abhängigkeit von Passwörtern sowohl bei Verbraucher- als auch bei Unternehmensanwendungen erheblich gesunken (von 44 % auf 31 % bzw. von 56 % auf 47 %), da Organisationen die Anwendung traditioneller MFA und strenger Authentifizierung ausgeweitet haben.
Wenn man die Situation insgesamt betrachtet, dominieren weiterhin anfällige Authentifizierungsmethoden. Für die Benutzer-Authentifizierung verwenden etwa ein Viertel der Organisationen SMS-OTPs (Einmalpasswörter) zusammen mit Sicherheitsfragen. Infolgedessen müssen zusätzliche Schutzmaßnahmen implementiert werden, um Verletzungen vorzubeugen, was die Kosten erhöht. Die Verwendung von wesentlich zuverlässigeren Authentifizierungsmethoden, wie beispielsweise Hardware-verschlüsselten Schlüsseln, ist viel seltener, nur etwa 5 % der Organisationen setzen sie ein.
Die sich entwickelnde regulatorische Umwelt verspricht eine schnellere Einführung strenger Authentifizierung für Verbraucheranwendungen. Mit der Einführung der PSD2 sowie neuer Datenschutzbestimmungen in der EU und in mehreren US-Bundesstaaten, wie Kalifornien, spüren die Unternehmen den Druck. Fast 70 % der Unternehmen sind sich einig, dass sie einem starken regulatorischen Druck zur Gewährleistung einer strengen Authentifizierung für ihre Kunden ausgesetzt sind. Mehr als die Hälfte der Unternehmen glaubt, dass ihre Authentifizierungsmethoden in einigen Jahren nicht mehr ausreichen werden, um den regulatorischen Standards gerecht zu werden.
Der Unterschied zwischen den Ansätzen russischer und amerikanisch-europäischer Gesetzgeber zum Schutz personenbezogener Daten von Nutzern von Programmen und Dienstleistungen ist deutlich sichtbar. In Russland hören wir: "Liebe Betreiber von Diensten, macht, was ihr wollt, aber wenn euer Administrator die Datenbank leakt, dann bestraften wir euch." Im Ausland hingegen sagt man: "Ihr müsst ein umfassendes Maßnahmenpaket umsetzen, das" nicht ermöglichen die Datenbanklecks verhindert. Genau aus diesem Grund wird dort aktiv die Forderung nach strenger Zwei-Faktor-Authentifizierung umgesetzt.
Es ist jedoch keineswegs sicher, dass unsere Gesetzgebungsmaschine irgendwann nicht aufwacht und die westlichen Erfahrungen berücksichtigt. Dann wird sich herausstellen, dass alle dringend die 2FA implementieren müssen, die den russischen kryptografischen Standards entspricht.
Die Schaffung einer zuverlässigen Authentifizierungsbasis ermöglicht es Unternehmen, den Fokus von der Erfüllung gesetzlicher Anforderungen auf die Bedürfnisse der Kunden zu verlagern. Für Organisationen, die noch einfache Passwörter oder die SMS-Code-Übermittlung verwenden, ist die Einhaltung der regulatorischen Anforderungen der entscheidende Faktor bei der Auswahl einer Authentifizierungsmethode. Unternehmen, die bereits strenge Authentifizierung einsetzen, können hingegen den Fokus auf die Auswahl von Methoden legen, die die Kundentreue erhöhen.
Bei der Wahl der Unternehmensauthentifizierung innerhalb des Unternehmens spielen die Anforderungen der Regulierungsbehörden bereits keine wesentliche Rolle mehr. In diesem Fall sind die Integrationssimplicity (32 %) und die Kosten (26 %) viel wichtiger.
In der Ära des Phishings können Angreifer Unternehmens-E-Mails für betrügerische Aktivitäten nutzen, um auf betrügerische Weise auf Daten und Konten (mit den entsprechenden Berechtigungen) zuzugreifen und sogar Mitarbeiter zu überzeugen, Geld auf ihr Konto zu überweisen. Daher sollten Unternehmens-E-Mail-Konten und Portale besonders gut geschützt sein.
Google hat seinen Schutz durch die Einführung strenger Authentifizierung verstärkt. Vor mehr als zwei Jahren veröffentlichte Google einen Bericht über die Einführung der Zwei-Faktor-Authentifizierung auf Basis von Sicherheits-Schlüsseltechnologie nach dem FIDO U2F-Standard und berichtete von beeindruckenden Ergebnissen. Laut dem Unternehmen gab es gegen über 85.000 Mitarbeiter keinen einzigen Phishing-Angriff.
Empfehlungen
Implementieren Sie strenge Authentifizierungsmaßnahmen für mobile und Online-Anwendungen. Die mehrfaktorielle Authentifizierung auf Basis von kryptografischen Schlüsseln bietet einen wesentlich besseren Schutz vor Hacking als traditionelle MFA-Methoden. Darüber hinaus ist die Verwendung von kryptografischen Schlüsseln viel benutzerfreundlicher, da keine zusätzlichen Informationen wie Passwörter, Einmalpasswörter oder biometrische Daten vom Benutzergerät zum Authentifizierungsserver übermittelt werden müssen. Zudem ermöglicht die Standardisierung der Authentifizierungsprotokolle eine einfachere Implementierung neuer Authentifizierungsmethoden, sobald sie verfügbar sind, wodurch die Nutzungskosten gesenkt und der Schutz vor komplizierteren Betrugsmaschen erhöht wird.
Bereiten Sie sich auf das Ende der Einmal-Passwörter (OTP) vor. Die Schwachstellen von OTP werden zunehmend offensichtlich, da Cyberkriminelle Social Engineering, Smartphone-Klonungen und Malware nutzen, um diese Authentifizierungsmittel zu gefährden. Und während OTP in bestimmten Fällen gewisse Vorteile bieten, tun sie dies vor allem durch ihre universelle Verfügbarkeit für alle Nutzer, jedoch nicht im Hinblick auf die Sicherheit.
Es lässt sich nicht leugnen, dass das Empfangen von Codes per SMS oder Push-Benachrichtigungen sowie die Generierung von Codes durch Smartphone-Apps genau das ist, was die Nutzung der berüchtigten Einmalpasswörter (OTP) darstellt, auf deren Niedergang wir uns vorbereiten sollen. Technisch gesehen ist die Lösung sehr sinnvoll, denn nur selten versucht ein Betrüger nicht, das Einmalpasswort von einem vertrauensvollen Nutzer zu erlangen. Ich denke, die Hersteller solcher Systeme werden bis zum Schluss an dieser sterbenden Technologie festhalten.
Nutzen Sie strenge Authentifizierung als Marketinginstrument zur Steigerung des Kundenvertrauens. Strikte Authentifizierung kann nicht nur die tatsächliche Sicherheit Ihres Unternehmens verbessern. Die Information der Kunden darüber, dass Ihr Unternehmen strikte Authentifizierung nutzt, kann das öffentliche Sicherheitsbewusstsein für dieses Unternehmen stärken – ein wichtiger Faktor, wenn es einen signifikanten Kundenbedarf nach zuverlässigen Authentifizierungsmethoden gibt.
Führen Sie eine gründliche Bestandsaufnahme und Bewertung der Bedeutung von Unternehmensdaten durch und schützen Sie diese entsprechend ihrer Wichtigkeit. Selbst Daten mit geringem Risiko, wie beispielsweise Kontaktdaten von Kunden (nein, tatsächlich steht im Bericht „low-risk“, es ist sehr merkwürdig, dass sie die Bedeutung dieser Informationen unterschätzen), können für Betrüger erheblichen Wert haben und Probleme für das Unternehmen verursachen.
Nutzen Sie strikte Authentifizierung im Unternehmen. Systemreihen stellen die attraktivsten Ziele für Cyberkriminelle dar. Dazu gehören sowohl interne als auch mit dem Internet verbundene Systeme, wie beispielsweise Buchhaltungssoftware oder Unternehmensdatenbanken. Strikte Authentifizierung schützt davor, dass Angreifer unbefugten Zugriff erlangen, und ermöglicht es außerdem, genau festzustellen, welche Mitarbeiter böswillige Aktivitäten ausgeführt haben.
Was ist strikte Authentifizierung?
Bei der Verwendung von strikter Authentifizierung kommen mehrere Methoden oder Faktoren zur Überprüfung der Benutzeridentität zum Einsatz:
- Wissensfaktor: ein gemeinsames Geheimnis zwischen dem Benutzer und der Authentifizierungsinstanz (z. B. Passwörter, Antworten auf geheime Fragen usw.)
- Besitzfaktor: ein Gerät, das nur der Benutzer besitzt (z. B. ein mobiles Gerät, ein kryptographischer Schlüssel usw.)
- Inhärentheitsfaktor: physische (häufig biometrische) Merkmale des Benutzers (z. B. Fingerabdruck, Iris-Scan, Stimme, Verhalten usw.)
Die Notwendigkeit, mehrere Faktoren zu überwinden, erhöht erheblich die Wahrscheinlichkeit des Scheiterns für Angreifer, da das Umgehen oder Täuschen verschiedener Faktoren den Einsatz mehrerer Arten von Angriffstaktiken erfordert, die jeweils spezifisch für jeden Faktor sind.
Beispielsweise kann bei der 2FA-Option 'Passwort + Smartphone' ein Angreifer die Authentifizierung durchführen, indem er das Passwort des Nutzers ausspioniert und eine exakte softwaretechnische Kopie seines Smartphones anfertigt. Das ist weitaus komplizierter, als einfach das Passwort zu stehlen.
Wenn allerdings zur 2FA ein Passwort und ein kryptografischer Token verwendet werden, funktioniert die Option des Kopierens nicht – den Token kann man nicht duplizieren. Der Betrüger müsste den Token unbemerkt vom Nutzer entwenden. Sollte der Nutzer den Verlust rechtzeitig bemerken und den Administrator informieren, wird der Token gesperrt, und die Mühen des Betrügers sind umsonst. Aus diesem Grund sollten für den Besitzfaktor spezialisierte sichere Geräte (Tokens) und keine Geräte für allgemeine Zwecke (Smartphones) verwendet werden.
Die Verwendung aller drei Faktoren macht diese Authentifizierungsmethode recht kostspielig in der Implementierung und recht umständlich in der Anwendung. Daher werden üblicherweise zwei von drei Faktoren verwendet.
Die Grundsätze der Zwei-Faktor-Authentifizierung werden detaillierter beschrieben , im Abschnitt „Wie die Zwei-Faktor-Authentifizierung funktioniert“.
Es ist wichtig zu beachten, dass mindestens einer der Authentifizierungsfaktoren, die bei der strengen Authentifizierung verwendet werden, auf kryptografischer Technologie mit öffentlichem Schlüssel basieren muss.
Strenge Authentifizierung bietet einen deutlich besseren Schutz als die Einzelfaktor-Authentifizierung, die auf klassischen Passwörtern und traditionellem MFA basiert. Passwörter können durch Keylogger, Phishing-Seiten oder Social Engineering-Angriffe (bei denen das getäuschte Opfer selbst sein Passwort preisgibt) ausspioniert oder abgefangen werden. Dabei hat der Besitzer des Passworts keine Ahnung von der tatsächlichen Diebstahl. Traditionelles MFA (einschließlich OTP-Codes, Anbindung an Smartphones oder SIM-Karten) kann ebenfalls relativ leicht umgangen werden, da es nicht auf der Kryptografie öffentlicher Schlüssel basiert.Übrigens gibt es viele Beispiele, bei denen Betrüger mithilfe von sozialen Ingenieurtechniken Nutzer dazu überredeten, ihnen Einmalpasswörter mitzuteilen.).
Glücklicherweise gewinnt die Nutzung strenger Authentifizierung und traditioneller MFA seit dem letzten Jahr sowohl in Verbraucher- als auch in Unternehmensanwendungen immer mehr an Bedeutung. Besonders schnell ist der Anstieg bei der Verwendung strenger Authentifizierung in Verbraucheranwendungen. Während im Jahr 2017 nur 5 % der Unternehmen diese Methode verwendeten, waren es 2018 bereits dreimal so viele – 16 %. Dies lässt sich durch die gestiegene Verfügbarkeit von Tokens erklären, die Algorithmen der Public Key Cryptography (PKC) unterstützen. Zudem hat der zunehmende Druck europäischer Regulierungsbehörden nach der Einführung neuer Datenschutzvorschriften wie PSD2 und GDPR auch außerhalb Europas starke Wirkung gezeigt.darunter auch in Russland).

Lassen Sie uns diese Zahlen genauer betrachten. Wie wir sehen, ist der Anteil der Privatanwender, die Mehrfaktor-Authentifizierung nutzen, im Laufe des Jahres um beeindruckende 11 % gestiegen. Dies geschah offensichtlich auf Kosten der Passwortenthusiasten, denn die Zahlen derjenigen, die an die Sicherheit von Push-Benachrichtigungen, SMS und Biometrie glauben, sind unverändert geblieben.
Die Situation bei der Zwei-Faktor-Authentifizierung im Unternehmensbereich sieht weniger rosig aus. Erstens zeigt der Bericht, dass lediglich 5 % der Mitarbeiter von der Passwortauthentifizierung auf Tokens umgeschaltet wurden. Zweitens ist der Anteil derjenigen, die in der Unternehmensumgebung alternative MFA-Optionen nutzen, um 4 % gestiegen.
Ich werde versuchen, den Analysten zu spielen und meine eigene Interpretation abzugeben. Im Zentrum der digitalen Welt der Einzelbenutzer steht das Smartphone. Daher ist es nicht verwunderlich, dass die meisten die Möglichkeiten nutzen, die ihnen dieses Gerät bietet – biometrische Authentifizierung, SMS und Push-Benachrichtigungen sowie Einmalpasswörter, die von Apps auf demselben Smartphone generiert werden. Über die Sicherheit und Zuverlässigkeit der ihnen vertrauten Werkzeuge machen sich die Menschen in der Regel keine Gedanken.
Deshalb bleibt der Anteil der Nutzer einfacher „traditioneller“ Authentifizierungsfaktoren unverändert. Aber diejenigen, die zuvor Passwörter genutzt haben, erkennen das Risiko und entscheiden sich bei der Wahl eines neuen Authentifizierungsfaktors für die modernste und sicherste Option – den kryptografischen Token.
Im Hinblick auf den Unternehmensmarkt ist es wichtig zu verstehen, in welches System die Authentifizierung erfolgt. Bei der Anmeldung in einer Windows-Domäne kommen kryptografische Tokens zum Einsatz. Die Möglichkeit, diese für 2FA zu nutzen, ist sowohl in Windows als auch in Linux integriert, während alternative Optionen langwierig und kompliziert zu implementieren sind. Hier sehen Sie den Übergang von 5 % von Passwörtern zu Tokens.
Die Implementierung von 2FA in Unternehmensinformationssystemen hängt stark von der Qualifikation der Entwickler ab. Entwicklern fällt es wesentlich einfacher, fertige Module zur Generierung von Einmalpasswörtern zu verwenden, als sich mit der Funktionsweise kryptografischer Algorithmen auseinanderzusetzen. In der Folge nutzen sogar extrem sicherheitskritische Anwendungen wie Single Sign-On oder Privileged Access Management OTP als zweiten Faktor.
Zahlreiche Sicherheitsanfälligkeiten bei traditionellen Authentifizierungsmethoden
Obwohl viele Organisationen weiterhin auf veraltete Einzelfaktorsysteme angewiesen sind, werden die Schwächen traditioneller Mehrfaktorauthentifizierung immer offensichtlicher. Einmalpasswörter, die normalerweise aus sechs bis acht Zeichen bestehen und per SMS versendet werden, bleiben die häufigste Form der Authentifizierung (neben dem Wissensfaktor des Passworts). Wenn in der Presse die Begriffe „Zwei-Faktor-Authentifizierung“ oder „Zweistufige Überprüfung“ erwähnt werden, beziehen sie sich fast immer auf die Authentifizierung mit einmaligen SMS-Passwörtern.
Hier macht der Autor einen kleinen Fehler. Der Versand von einmaligen Passwörtern per SMS war niemals eine Zwei-Faktor-Authentifizierung. Das ist rein der zweite Schritt einer zweistufigen Authentifizierung, bei dem der erste Schritt die Eingabe von Benutzername und Passwort ist.
Im Jahr 2016 aktualisierte das National Institute of Standards and Technology (NIST) seine Authentifizierungsrichtlinien, um die Verwendung von einmaligen Passwörtern, die per SMS gesendet wurden, auszuschließen. Diese Richtlinien wurden jedoch nach Protesten in der Branche erheblich aufgeweicht.
Behalten wir die Entwicklung im Auge. Die amerikanische Regulierungsbehörde erkennt zu Recht an, dass veraltete Technologien nicht in der Lage sind, die Sicherheit der Benutzer zu gewährleisten, und führt neue Standards ein. Diese Standards sollen Online- und mobile Anwendungen (einschließlich Bankanwendungen) schützen. Die Branche überlegt, wie viel Geld für den Erwerb wirklich sicherer kryptographischer Tokens, für die Umgestaltung von Anwendungen und für die Bereitstellung öffentlicher Schlüssel-Infrastrukturen ausgegeben werden muss, und „stellt sich quer“. Einerseits wurden die Benutzer von der Zuverlässigkeit der einmaligen Passwörter überzeugt, andererseits gab es Angriffe auf das NIST. Infolgedessen wurde der Standard aufgeweicht, während die Anzahl der Hacks und Passwortdiebstähle (neben dem Diebstahl von Geld aus Bankanwendungen) stark angestiegen ist. So musste die Industrie nicht viel Geld ausgeben.
Seitdem sind die Schwächen von SMS-OTPs deutlicher geworden. Betrüger nutzen verschiedene Methoden zur Kompromittierung von SMS-Nachrichten:
- SIM-Kartenduplizierung. Angreifer erstellen eine Kopie der SIM (entweder mithilfe von Mitarbeitern des Mobilfunkanbieters oder eigenständig mit spezieller Software und Hardware). In einem besonders bekannten Fall konnten Hacker sogar das Konto des AT&T-Kunden und Kryptowährungsinvestors Michael Terpin kompromittieren und fast 24 Millionen Dollar in Kryptowährungen stehlen. Daher behauptete Terpin, dass AT&T wegen schwacher Verifizierungsmaßnahmen verantwortlich war, die zur Duplizierung seiner SIM-Karte führten.
Erstaunliche Logik. Bedeutet das, dass nur AT&T schuld ist? Nein, die Verantwortung des Mobilfunkanbieters liegt sicherlich darin, dass die Verkäufer im Fachgeschäft ein Duplikat der SIM-Karte ausgestellt haben. Aber wie steht es um das Authentifizierungssystem der Kryptowährungsbörse? Warum haben sie keine zuverlässigen kryptografischen Token verwendet? War das Geld für die Implementierung zu schade? Und Michael selbst ist nicht schuld? Warum hat er nicht darauf bestanden, den Authentifizierungsmechanismus zu ändern oder nur bei Börsen zu handeln, die eine Zwei-Faktor-Authentifizierung auf Basis von kryptografischen Tokens anbieten?
Die Implementierung wirklich zuverlässiger Authentifizierungsmethoden wird gerade dadurch verzögert, dass die Nutzer vor dem Hack eine erstaunliche Sorglosigkeit zeigen und danach jeden und alles für ihre Probleme verantwortlich machen, außer für die veralteten und "löchrigen" Authentifizierungstechnologien.
- Schadhafte Programme (Malware). Eine der frühesten Funktionen mobiler Malware war das Abfangen und Weiterleiten von Textnachrichten an Angreifer. Auch 'Man-in-the-Browser'- und 'Man-in-the-Middle'-Angriffe können Einmalpasswörter abfangen, während sie auf infizierten Notebooks oder Desktop-Geräten eingegeben werden.
Wenn die Sberbank-App auf Ihrem Smartphone das grüne Symbol in der Statusleiste blinkt, sucht sie unter anderem nach "Schadsoftware" auf Ihrem Telefon. Ziel dieser Maßnahme ist es, eine unzuverlässige Ausführungsumgebung eines typischen Smartphones zumindest teilweise in eine vertrauenswürdige zu verwandeln.
Übrigens ist das Smartphone, als absolut unzuverlässiges Gerät, auf dem alles Mögliche ausgeführt werden kann, ein weiterer Grund, nur für die Authentifizierung Hardware-Token, die abgesichert und frei von Viren und Trojanern sind. - Soziale Ingenieurkunst. Wenn Betrüger wissen, dass das Opfer Einmalpasswörter per SMS aktiviert hat, können sie direkt mit dem Opfer in Kontakt treten und sich als vertrauenswürdige Organisation ausgeben, wie beispielsweise deren Bank oder Kreditgenossenschaft, um das Opfer zu täuschen und den gerade erhaltenen Code zu erhalten.
Mit dieser Art von Betrug habe ich persönlich mehrfach zu tun gehabt, zum Beispiel als ich versuchte, etwas auf einem beliebten Online-Marktplatz zu verkaufen. Ich habe mich ausgiebig über einen Betrüger lustig gemacht, der versuchte, mich hereinzulegen. Leider lese ich jedoch regelmäßig in den Nachrichten, wie ein weiteres Betrugsopfer "nicht nachgedacht" hat, den Bestätigungscode angegeben hat und eine große Summe Geld verloren hat. Und das alles, weil die Bank einfach keine Lust hat, kryptographische Tokens in ihre Anwendungen zu integrieren. Schließlich sind die Kunden dann "selbst schuld", wenn etwas schiefgeht.
Obwohl alternative Methoden zur Zustellung von Einmalpasswörtern einige Schwachstellen dieser Authentifizierungsmethode abschwächen können, bleiben andere Schwachstellen bestehen. Autonome Anwendungen zur Code-Generierung bieten den besten Schutz gegen Abfangversuche, da schädliche Software praktisch nicht direkt mit dem Code-Generator interagieren kann (ernsthaft? Der Autor des Berichts hat die Fernsteuerung vergessen?), aber OTP können dennoch beim Eingeben im Browser abgefangen werden (zum Beispiel durch die Verwendung eines Keyloggers), über eine gehackte mobile Anwendung; sie können zudem direkt vom Benutzer durch soziale Ingenieurskunst erlangt werden.
Die Verwendung mehrerer Risikobewertungsinstrumente, wie z. B. Geräkeerkennung (Identifikation von Versuchen, Vorgänge von Geräten durchzuführen, die nicht dem rechtmäßigen Benutzer gehören), Geolokalisierung (ein Benutzer, der sich gerade in Moskau aufhielt, versucht eine Transaktion aus Nowosibirsk durchzuführen.) und Verhaltensanalytik sind entscheidend für die Behebung von Sicherheitslücken, aber keine Lösung ist eine Allheilmittel. Für jede Situation und Art von Daten müssen die Risiken sorgfältig bewertet werden, um die passende Authentifizierungstechnologie auszuwählen.
Keine Authentifizierungslösung ist eine Allheilmittel
Abbildung 2. Tabelle der Authentifizierungsoptionen
| Authentifizierung | Faktor | Beschreibung | Schlüsselanfälligkeiten |
| Passwort oder PIN | Wissen | Ein fester Wert, der Buchstaben, Zahlen und eine Reihe von Sonderzeichen enthalten kann | Kann abgefangen, beobachtet, gestohlen, erraten oder gehackt werden |
| Wissensbasierte Authentifizierung | Wissen | Fragen, deren Antworten nur der legitime Nutzer kennt | Können abgefangen, erraten oder durch Social Engineering erlangt werden |
| Hardware-OTP () | Besitz | Ein spezielles Gerät, das Einmalpasswörter generiert | Der Code kann abgefangen und wiederholt werden, oder das Gerät kann gestohlen werden |
| Software-OTP | Besitz | Eine Anwendung (mobil, webbasiert oder die Codes per E-Mail versendend), die Einmalpasswörter generiert | Der Code kann abgefangen und wiederholt werden, oder das Gerät kann gestohlen werden |
| SMS-OTP | Besitz | Einmaliger Passwort, das per SMS zugestellt wird | Der Code kann abgefangen und wiederholt werden, oder das Smartphone oder die SIM-Karte können gestohlen werden, oder die SIM-Karte kann dupliziert werden |
| Smartcards () | Besitz | Eine Karte, die einen kryptografischen Chip und geschützten Speicher mit Schlüsseln enthält und zur Authentifizierung die Public-Key-Infrastruktur verwendet | Kann physisch gestohlen werden (aber ein Angreifer kann das Gerät nicht nutzen, ohne den PIN-Code zu kennen; nach mehreren falschen Eingabeversuchen wird das Gerät gesperrt) |
| Sicherheitsschlüssel – Tokens (, ) | Besitz | Ein USB-Gerät, das einen kryptografischen Chip und geschützten Speicher mit Schlüsseln enthält, verwendet zur Authentifizierung die Public-Key-Infrastruktur | Kann physisch gestohlen werden (aber ein Angreifer kann das Gerät nicht nutzen, ohne den PIN-Code zu kennen; nach mehreren falschen Eingabeversuchen wird das Gerät gesperrt) |
| Gerätebindung | Besitz | Der Prozess zur Erstellung eines Profils erfolgt häufig unter Verwendung von JavaScript oder durch Marker wie Cookies und Flash Shared Objects, um sicherzustellen, dass ein bestimmtes Gerät verwendet wird. | Marker können gestohlen (kopiert) werden, und auch die Merkmale eines legitimen Geräts können von einem Angreifer auf seinem eigenen Gerät imitiert werden. |
| Das Verhalten | Unveränderlichkeit | Es wird analysiert, wie der Benutzer mit dem Gerät oder der Software interagiert. | Verhalten kann imitiert werden. |
| Fingerabdrücke | Unveränderlichkeit | Gespeicherte Fingerabdrücke werden mit optisch oder elektronisch erfassten verglichen. | Ein Bild kann gestohlen und zur Authentifizierung verwendet werden. |
| Augenscan | Unveränderlichkeit | Die Merkmale des Auges, wie das Muster der Iris des Schülers, werden mit neuen Scans verglichen, die optisch erfasst werden. | Ein Bild kann gestohlen und zur Authentifizierung verwendet werden. |
| Gesichtserkennung | Unveränderlichkeit | Die Merkmale des Gesichts werden mit neuen Scans verglichen, die optisch erfasst werden. | Ein Bild kann gestohlen und zur Authentifizierung verwendet werden. |
| Spracherkennung | Unveränderlichkeit | Die Merkmale des aufgenommenen Sprachmusters werden mit neuen Mustern verglichen. | Die Aufnahme kann gestohlen und zur Authentifizierung verwendet oder emuliert werden. |
Im zweiten Teil des Beitrags erwarten uns die spannendsten Aspekte – Zahlen und Fakten, auf denen die in Teil eins getroffenen Schlussfolgerungen und Empfehlungen basieren. Wir werden die Authentifizierung in Benutzeranwendungen sowie in Unternehmenssystemen gesondert betrachten.
Bis bald!
Quelle: habr.com
