Cybersicherheit

Multifaktor-Authentifizierung: Mehr Passwörter sind bessere Passwörter

Uhr
von Ronny Fischer, Security Chief Technology Officer bei T-Systems Schweiz

Passwörter sind ein leidiges Übel. Zumal auch sie keine Sicherheit garantieren können. Multifaktor-Authentifizierung geht in puncto Security einen Schritt weiter. In Homeoffice-Zeiten ist dies auch zwingend, denn man muss nicht nur sich selbst, sondern auch das Unternehmen schützen.

Das erklärte Ziel eines Hackers oder auch einer cleveren Malware ist es in der Regel, Benutzerkonten zu infiltrieren oder gar komplett zu übernehmen. Die Hürde für dieses Vorhaben ist die Kenntnis des Benutzernamens und des dazugehörigen Passworts. Zwar laufen derzeit einige Anstrengungen, das vielen Nutzern verleidete Passwort zu eliminieren. FIDO beispielsweise, die Fast Identity Online Alliance, entwickelt offene Standards für die Anmeldung ohne Passwort, doch solange sich deren Technologien noch nicht flächendeckend durchgesetzt haben, bleiben die Passwörter die gebräuchlichste Methode, um eine Anmeldung bei Online-Diensten abzusichern. Vor allem schwache Passwörter, die leicht zu erraten und somit anfällig für Brute-Force-Attacken sind, führen immer wieder zu Sicherheitsvorfällen und auch Datenverlusten. Doch wie bezieht man ein sicheres Passwort?

 

Wie kommt man zu einem sicheren Passwort?

Sichere Passwörter zu generieren, kann im Prinzip ganz einfach sein: Man holt sich einen Passwort-Manager. Passwort-Manager wie Keepass, ein freies, unter den Bedingungen der GNU General Public License erhältliches Programm zur Kennwortverwaltung, helfen beim Verwalten und Nutzen von Zugangsdaten. Keepass steht sogar gratis zum Download zur Verfügung. Im Idealfall sollte sich ein User für jedes seiner Benutzerkonten ein neues und einzigartiges Passwort erschaffen, damit ein Hacker schlimmstenfalls nicht die Herrschaft über das gesamte digitale Leben bekommt, sondern nur über Teile davon.

In Keepass ist eine Funktion verfügbar, mit der Passwörter automatisch generiert werden können. Dazu kann ein Filter genutzt werden. Es ist darauf zu achten, dass das Passwort genug lang ist - Minimum sollten 12 Zeichen - und dass Gross-Kleinbuchstaben, Zahlen und Sonderzeichen im Passwort enthalten sind.

Das erklärte Ziel eines Hackers oder auch einer cleveren Malware ist es in der Regel, Benutzerkonten zu infiltrieren oder gar komplett zu übernehmen. Die Hürde für dieses Vorhaben ist die Kenntnis des Benutzernamens und des dazugehörigen Passworts. Zwar laufen derzeit einige Anstrengungen, das vielen Nutzern verleidete Passwort zu eliminieren. FIDO beispielsweise, die Fast Identity Online Alliance, entwickelt offene Standards für die Anmeldung ohne Passwort, doch solange sich deren Technologien noch nicht flächendeckend durchgesetzt haben, bleiben die Passwörter die gebräuchlichste Methode, um eine Anmeldung bei Online-Diensten abzusichern. Vor allem schwache Passwörter, die leicht zu erraten und somit anfällig für Brute-Force-Attacken sind, führen immer wieder zu Sicherheitsvorfällen und auch Datenverlusten. Doch wie bezieht man ein sicheres Passwort?

Werden diese Vorgaben beachtet, ist die Sicherheit bereits relativ hoch. Doch leider sind diese wenigen Schritte schon für die meisten End-Anwender und -Anwenderinnen zu kompliziert. Auch wenn es dringend notwendig wäre, seinen eigenen Passwörtern Sorge zu tragen, sehen viele Benutzerinnen und Benutzer nicht wirklich ein, wieso solch ein Aufwand betrieben werden muss.

 

Multifaktor ist die Antwort

Was also tun mit all den Benutzern und Benutzerinnen, denen die oben geschilderten Schritte zu viel sind? Die Antwort darauf heisst Multifaktor-Authentifizierung oder kurz: MFA.

MFA verfolgt das Prinzip, dass zeitlich limitierte und einmalige Passwörter generiert werden und somit kein Passwort wirklich dauerhaft auf irgendeinem System gespeichert wird. Das MFA-Prinzip ist für den Benutzer oder die Benutzerin relativ einfach anzuwenden und je nach Implementation der Technologie sehr benutzerfreundlich.

  • Der etwaige Benutzer meldet sich wie gewohnt mit seinem Benutzernamen und seinem mehr oder weniger sicheren Passwort am System an.

  • Nach erfolgreicher Eingabe der Benutzerdaten kommt eine neue Abfrage nach dem MFA-Passwort.

  • Das MFA-Passwort wird hierbei beispielweise via SMS, einem separaten Gerät oder eine Applikation geliefert und besteht in der Regel aus ein paar wenigen Zeichen, die aus Gross- und Kleinbuchstaben und oder Zahlen zusammengesetzt sind.

Hacker können auf ein mit MFA geschütztes Benutzerkonto nur mit sehr hohem Aufwand eindringen. Er müsste hierzu auch die Kontrolle über die MFA-Methode erlangen, die aber praktisch immer noch durch zusätzliche Security aktiv geschützt wird. Wie gut der Schutz im Endeffekt ist, definiert die Art und Weise, wie MFA technisch umgesetzt wird. Hierzu existieren bereits gute RFCs (Request for Comments). RFC 4226 beschreibt zum Beispiel, wie Einmalkennwörter basierend auf dem Keyed-Hash Message Authentication Code (HMAC) mit Hilfe von Schlüsseln generiert werden. RFC 6238 ist ein "Time-based One-time"-Password-Algorithmus, der abbildet, wie Einmal-Passwörter zusätzlich mit der Hilfe von Zeit generiert werden. Beide Verfahren wenden kryptografische Methoden an und sind für Laien nicht wirklich einfach verständlich. Das muss es zwar nicht, denn auch ein Auto lässt sich fahren, ohne dass der Lenker sich zwingend über die Funktionsweise eines Verbrennungsmotors im Klaren ist. Dennoch gibt es auch bei der MFA einige Richtlinien, die befolgt werden sollten:

 

  • Übertragungsmedium des MFA
    Das Übertragungsmedium des MFA-Passworts sollte in jedem Fall ein anderes sein als die Applikation, die es benutzt. Wenn also zum Beispiel auf einer Web-Seite eine MFA-Abfrage erfolgt, sollte das MFA-Passwort niemals im Browser geliefert werden. Wenn der Hacker die Kontrolle des Browser nämlich schon übernommen hat, kann er sich damit auch seine eigenen MFA-Passwörter generieren.

 

  • Sichtbarkeit des MFA
    Auch wenn die bekannten QR-Codes das Leben vereinfachen können, ist bei einer MFA-Lösung, die nur auf QR-Codes basiert, Vorsicht geboten. QR-Codes können von Fremden abfotografiert (vor allem an einem Desktop-PC) und dementsprechend auch missbraucht werden.

 

  • Etwas, das ich besitze, und etwas, das ich kenne
    Auch wenn es sich zum Teil um eine antiquierte Methode handelt, sind die proprietären MFA-Schlüssel, die auf spezieller Hardware implementiert werden, noch immer eine der besten MFA-Lösungen, weil der Empfänger des MFA-Passworts gleichzeitig auch der Besitzer der MFA-Hardware sein muss. Bekannte Beispiele dieser Implementation sind beispielsweise Telebanking-Zugänge, zu denen von der Bank eine entsprechende Hardware geliefert wird.

 

Fallstricke beim Einsatz von MFA

So gut MFA im Kontext der generellen Security abschneidet – es gibt aber dennoch Schattenseiten: Geht der Hardware-Key, der den zweiten Authentifizierungsfaktor liefert, verloren, ist man vom Benutzerkonto ausgeschlossen. Das Gleiche gilt für Applikationen, die mittlerweile sehr beliebt sind und auf den mobilen Geräten angeboten werden. Wird bei einem Wechsel auf ein neues Handy vergessen, die entsprechende MFA-Applikation sauber zu übertragen, wird man auch hier wiederum von seinem Benutzerkonto ausgeschlossen. Die meisten MFA-Anbieter ermöglichen auch ohne MFA trotzdem einen alternativen Zugang; allerdings beruht dieser dann zumeist erneut auf einem Passwort, womit in Sachen Sicherheit das Gegenteil von dem erreicht wird, was mit der MFA angestrebt worden war.

 

Saubere Implementation entscheidend

Schlussendlich ist für die Sicherheit sehr relevant, wie gut die MFA vom Hersteller selbst implementiert wird. Darauf hat der Benutzer oder die Benutzerin meist keinen Einfluss. Interessehalber kann er im Internet nachforschen, wer was wie umgesetzt hat. Eine recht beliebte MFA-Lösung, die von einer grossen Internetfirma kostenfrei angeboten wird, kann bei näherem Hinsehen durchaus ein paar Lücken haben, die noch geschlossen werden müssten, um eine wirklich sichere MFA-Lösung darzustellen. In jedem Fall ist ein MFA-Schutz besser als kein MFA-Schutz. Der Aufwand im Verhältnis zum Nutzen rechtfertigt diese Art des sicheren Zugangs zu den Benutzerkonten und damit zur eigenen digitalen Identität.

 

Relevanz in der Pandemie gestiegen

Mit dem vermehrten Homeoffice ist die Relevanz zum Schutz vor Cyberrisiken nochmals gestiegen. Die am heimischen Desk- oder Laptop tätigen Berufsleute schützen mit MFA nicht nur sich selbst, sondern auch ihre Firma. Normalerweise wird die Verbindung zur Firma über ein virtuelles privates Netzwerk (VPN) genutzt. Das ist ein geschützter Tunnel durch das Internet, der den Computer mit der IT-Infrastruktur der Firma verbindet. Empfehlenswert ist als Authentifizierungsmethode ein Single-Sign-On, so dass sich die Mitarbeitenden lediglich einmal am Unternehmensnetzwerk anmelden. Sie sind dadurch für alle möglichen Anwendungen inklusive Webservices wie Salesforce oder Office 365 freigeschaltet. Für die Sicherheit kann wiederum die Multifaktor-Authentifizierung sorgen, indem der Zugang zum Unternehmensnetzwerk nur über einen Authenticator, der beispielsweise auf dem Diensthandy installiert ist, gewährt wird.

Webcode
DPF8_219832