Zugriffe sicher verwalten
MFA bietet trügerische Sicherheit
Foto: astel design - shutterstock.com
Passwörter bieten keine ausreichende Sicherheit. So viel ist bekannt. Immer mehr Unternehmen setzen deshalb auf Multi-Faktor-Authentifizierung (MFA), also auf die Verwendung zusätzlicher Faktoren wie eines Authentifizierungs-Tokens zur Identifikation von Benutzern.
Aber auch solche Verfahren bieten nur eine begrenzte Sicherheit, wie zahlreiche Vorfälle der jüngeren Vergangenheit belegen, etwa die Angriffe der Hackergruppe "Lapsus$" auf Microsoft und den Anbieter von Identitätslösungen Okta.
MFA: Der Schutz vor Phishing-Angriffen reicht häufig nicht aus
Ein Grundproblem von klassischen MFA-Lösungen ist, dass sie in der Regel weiterhin Passwörter im Authentifizierungsprozess verwenden. Die Gefahr von passwortbasierten Angriffen bleibt also bestehen. Auch die oft als zusätzliche Authentifizierungsfaktoren genutzten Einmal-Passwörter (One-Time-Password - OTP), die per Voice, SMS oder E-Mail gesendet werden, oder die Push-Benachrichtigungen über eine Authentifizierungs-App, sind ein Sicherheitsproblem - vor allem im Hinblick auf Phishing-Angriffe. Heutzutage sind automatisierte Phishing-Kits für Hacker leicht verfügbar, mit denen die Sicherheitsmechanismen umgangen werden können.
Die traditionelle Multi-Faktor-Authentifizierung ist somit unwirksam gegenüber modernen Phishing-Kampagnen. So kann eine Phishing-Nachricht das Opfer beispielsweise auf eine Proxy-Website leiten, um sowohl das Passwort als auch den OTP-Code zu stehlen.
Weitere Angriffstaktiken sind die Verwendung von Robocalls, um Benutzer zur Übermittlung von Codes zu bewegen, oder SIM-Swapping, wobei Nachrichten an das Telefon des Angreifers gesendet werden. Auch das sogenannte Push Bombing, bei dem Anwendern gehäuft Authentifizierungs-Anfragen geschickt werden, bis dieser genervt bestätigt, erfreut sich immer größerer Popularität unter Hackern.
Kryptogragische Schlüssel als zusätzlicher Schutz
Eine Alternative zur unzureichenden Sicherheit klassischer MFA-Verfahren bietet eine Authentifizierung ohne Passwortnutzung oder Push-Benachrichtigungen. Dabei werden Kennwörter durch sichere kryptografische, asymmetrische Schlüsselpaare ersetzt. So ist die Authentifizierung weiterhin mit zwei Faktoren gesichert, aber gleichzeitig Phishing-resistent.
Moderne MFA verwendet also keinen schwachen Authentifizierungsfaktor mehr und gibt dem Anwender die volle Kontrolle über den Anmeldeprozess. Sie nutzt einen Besitz-Faktor in Form eines privaten kryptografischen Schlüssels - eingebettet auf der Hardware-Ebene in einem benutzereigenen Gerät - und Inhärenz-Faktoren wie die Gesichtserkennung. Anstelle von Push-Benachrichtigungen scannt der User einen QR-Code, um die Authentifizierung anzustoßen. Auf diese Weise wird das Phishing-Problem vieler aktueller MFA-Verfahren behoben. (jm)