Zugriffe sicher verwalten

MFA bietet trügerische Sicherheit

Die Multi-Faktor-Authentifizierung (MFA) ist im Prinzip sicher – aber nur, wenn sie völlig passwortlos funktioniert und Phishing-Resistenz bietet.
Von 
CSO | 15. Juni 2022 05:26 Uhr
Ein Grundproblem von klassischen MFA-Lösungen ist, dass in der Regel weiterhin Passwörter im Authentifizierungsprozess genutzt werden.
Ein Grundproblem von klassischen MFA-Lösungen ist, dass in der Regel weiterhin Passwörter im Authentifizierungsprozess genutzt werden.
Foto: astel design - shutterstock.com

Passwörter bieten keine ausreichende Sicherheit. So viel ist bekannt. Immer mehr Unternehmen setzen deshalb auf Multi-Faktor-Authentifizierung (MFA), also auf die Verwendung zusätzlicher Faktoren wie eines Authentifizierungs-Tokens zur Identifikation von Benutzern.

Aber auch solche Verfahren bieten nur eine begrenzte Sicherheit, wie zahlreiche Vorfälle der jüngsten Vergangenheit belegen, etwa die Angriffe der Hackergruppe "Lapsus$" auf Microsoft und den Anbieter von Identitätslösungen Okta.

MFA: Der Schutz vor Phishing-Angriffen reicht häufig nicht aus

Ein Grundproblem von klassischen MFA-Lösungen ist, dass sie in der Regel weiterhin Passwörter im Authentifizierungsprozess verwenden. Die Gefahr von passwortbasierten Angriffen bleibt also bestehen. Auch die oft als zusätzliche Authentifizierungsfaktoren genutzten Einmal-Passwörter (One-Time-Password - OTP), die per Voice, SMS oder E-Mail gesendet werden, oder die Push-Benachrichtigungen über eine Authentifizierungs-App, sind ein Sicherheitsproblem - vor allem im Hinblick auf Phishing-Angriffe. Heutzutage sind automatisierte Phishing-Kits für Hacker leicht verfügbar, mit denen die Sicherheitsmechanismen umgangen werden können.

Cybersecurity-Experten schätzen, dass über 90 Prozent aller Multi-Faktor-Authentifizierungen keinen ausreichenden Schutz vor Phishing-Attacken bieten. Nicht umsonst haben deshalb auch die US-Bundesbehörden CISA (Cybersecurity and Infrastructure Security Agency) und OMB (Office of Management and Budget) alle Verwaltungen aufgefordert, Phishing-resistente MFA zu nutzen.

Die traditionelle Multi-Faktor-Authentifizierung ist somit unwirksam gegenüber modernen Phishing-Kampagnen. So kann eine Phishing-Nachricht das Opfer beispielsweise auf eine Proxy-Website leiten, um sowohl das Passwort als auch den OTP-Code zu stehlen.

Weitere Angriffstaktiken sind die Verwendung von Robocalls, um Benutzer zur Übermittlung von Codes zu bewegen, oder SIM-Swapping, wobei Nachrichten an das Telefon des Angreifers gesendet werden. Auch das sogenannte Push Bombing, bei dem Anwendern gehäuft Authentifizierungs-Anfragen geschickt werden, bis dieser genervt bestätigt, erfreut sich immer größerer Popularität unter Hackern.

Kryptogragische Schlüssel als zusätlicher Schutz

Eine Alternative zur unzureichenden Sicherheit klassischer MFA-Verfahren bietet eine Authentifizierung ohne Passwortnutzung oder Push-Benachrichtigungen. Dabei werden Kennwörter durch sichere kryptografische, asymmetrische Schlüsselpaare ersetzt. So ist die Authentifizierung weiterhin mit zwei Faktoren gesichert, aber gleichzeitig Phishing-resistent.

Moderne MFA verwendet also keinen schwachen Authentifizierungsfaktor mehr und gibt dem Anwender die volle Kontrolle über den Anmeldeprozess. Sie nutzt einen Besitz-Faktor in Form eines privaten kryptografischen Schlüssels - eingebettet auf der Hardware-Ebene in einem benutzereigenen Gerät - und Inhärenz-Faktoren wie die Gesichtserkennung. Anstelle von Push-Benachrichtigungen scannt der User einen QR-Code, um die Authentifizierung anzustoßen. Auf diese Weise wird das Phishing-Problem vieler aktueller MFA-Verfahren behoben. (jm)

Jochen Koehler ist , Leiter der Region Zentraleuropa bei HYPR in Heilbronn. Er verfügt über zwanzig Jahre Erfahrung im Bereich IT-Security, die er unter anderem bei NTT Security (vormals Integralis), cirosec und bei Cyber-Ark als Regional Director sammelte. Dank dieser Positionen verfügt er über besondere Expertise auf Gebieten wie Micro-Virtualisierung, Threat Intelligence und IT-Security.