Herkömmliche MFA reicht nicht mehr aus
Eine Multi-Faktor-Authentifizierung (MFA) ist heute keine Garantie mehr, dass Konten nicht gehackt werden können. Eine passwortlose MFA nach dem FIDO-Standard bietet höhere Sicherheit und mehr Komfort.
Viele Unternehmen setzen mittlerweile auf Multi-Faktor-Authentifizierung. Durch immer raffiniertere Vorgehensweisen gelingt es Cyberkriminelle jedoch regelmäßig, auch diese Sicherheitsmaßnahmen zu umgehen. Kürzlich haben beispielsweise die SicherheitsforscherInnen von Microsoft eine groß angelegte Phishing-Kampagne aufgedeckt, durch welche Office-365-Konten trotz Multi-Faktor-Authentifikation kompromittiert werden. (centron berichtete: Phishing: Office-365-Konten trotz MFA gehackt).
Vorneweg: Natürlich ist eine Multi-Faktor-Authentifizierung noch immer deutlich besser, als ein einfaches Passwort zu verwenden und keine weitere Sicherheitsmaßnahmen zu ergreifen! Für viele Angriffsarten reicht eine herkömmliche passwortbasierte MFA nach wie vor aus. Allerdings bietet sie nicht mehr dieselbe Sicherheit, die sie noch vor einigen Jahren versprach. AngreiferInnen werden immer kreativer – dementsprechend müssen Unternehmen auch bei ihrer MFA nachrüsten, statt sich in falscher Sicherheit zu wiegen.
Schwachstellen herkömmlicher Multi-Faktor-Authentifizierung
Gängige Formen von MFA basieren in der Regel auf einer Passwortauthentifizierung, welche durch ein oder mehrere weitere Faktoren wie Einmal-Passwörter (OTPs) oder Push-Benachrichtigungen ergänzt werden. Klingt in der Theorie gut, ist heutzutage jedoch nicht allzu schwer zu umgehen.
Das Abfangen eines OTP ist beispielsweise durch SIM-Swapping möglich. Bei dieser Betrugsmethode geben sich Cyberkriminelle dem Mobilfunkanbieter gegenüber als legitime NutzerInnen aus und überzeugen diesen, auf eine neue SIM-Karte umzustellen. So werden alle zukünftigen OTPs bequem an das Telefon der AngreiferInnen gesendet.
Eine weitere beachtliche Schwachstelle birgt die Passwortwiederherstellung. Diese Prozesse untergraben häufig die MFA, indem sie den zweiten Identifizierungsfaktor (E-Mail, Telefon etc.) zum Alleinigen machen. Die Antworten auf scheinbar geheime Fragen, die beim Zurücksetzen von Passwörtern üblicherweise verwendet werden und welche dann die letzte verbleibende Barriere darstellen, sind häufig ganz einfach über soziale Medien herauszufinden.
Wie bereits am Beispiel Office 365 angesprochen geht darüber hinaus auch von Phishing-Kampagnen ein großes Risiko aus. Phishing-E-Mails bringen die UserInnen dazu, auf Links zu klicken oder gefälschte Anmeldeseiten zu nutzen und den gerade erhaltenen Code direkt an die HackerInnen weiterzugeben oder eine entsprechende Push-Benachrichtigung zu bestätigen.
Handlungsempfehlungen
Damit Multi-Faktor-Authentifizierung wirklich den Schutz bieten kann, welchen sich die NutzerInnen erhoffen, muss sie auf Authentifizierungsfaktoren beruhen, welche Cyberkriminelle nicht so leicht kompromittieren können. Hier sind vor allem die biometrische Authentifizierung wie das Scannen von Fingerabdrücken oder die Gesichtserkennung sowie Sicherheitsprüfungen auf Geräteebene empfehlenswert.
Die Implementierung einer modernen, passwortlosen MFA muss nicht einmal nennenswert aufwendiger sein als die Implementierung einer herkömmlichen passwortbasierten MFA. Mit Hilfe der FIDO-Standards können Unternehmen ganz leicht eine Kombination aus biometrischer Authentifizierung und gerätespezifischen privaten Schlüsseln für ihre MFA verwenden. So können sie ihre Angriffsfläche nachhaltig minimieren und in der Folge die eigene Cybersicherheit maßgeblich steigern.
