Flexible Security for Your Peace of Mind

Multi-Faktor-Authentifizierung ausgetrickst

Für ein ordentliches Niveau an IT-Sicherheit ist Multi-Faktor-Authentifizierung (MFA) eine Voraussetzung. Auf eine Authentifizierung von Nutzern nur mittels Benutzername und Passwort – oder einem anderen einzelnen Faktor – setzt niemand mehr, der sich auch nur ein Mindestmaß an Gedanken zur Sicherheit seiner Systeme gemacht hat.
Doch mit der Einführung von MFA hat man das Thema sichere Authentifizierung keineswegs in trockenen Tüchern: MFA bietet zahlreiche Angriffspunkte, an denen geschickte Angreifer die Sicherheitsmechanismen aushebeln können. Doch trotz der Vielfalt der möglichen Angriffe gibt es einen Aspekt der MFA, an dem sich sehr effizient ansetzen lässt, um das System letzten Endes doch sicher zu betreiben.

Multi-Faktor-Authentifizierung: Wissen, Besitz, Inhärenz

Zur Erinnerung: Die Authentifizierung eines Besitzers an einem System kann durch drei verschiedene Kategorien von Faktoren erfolgen.

Diese sind:

Wissen – was weiß der Benutzer?

Hierzu zählen beispielsweise Passwörter, Passphrasen oder PINs. Der Benutzer identifiziert sich durch das, was er weiß. Problematisch: Die Weitergabe von Wissen – etwa das Leaken eines Passworts – kann nicht rückgängig gemacht werden. In diesem Fall muss der Faktor geändert werden, sodass das “Wissen” wieder geheim oder vertraulich ist.

Besitz – was besitzt der Benutzer?

Der Faktor „Besitz“ wird durch einen Gegenstand realisiert, ein sogenanntes „Token“ (engl. für „Zeichen“). Hierunter fallen etwa ein USB-Stick, ein Smartphone, eine Ausweiskarte oder auch einfach ein herkömmlicher Schlüssel. Diese Gegenstände können gestohlen werden. Ob sie von einem Angreifer auch einfach repliziert werden können, hängt von Eigenschaften der Sache selbst ab – beispielsweise fälschungssichere Merkmale auf einem Ausweis.

Inhärenz – was kennzeichnet den Benutzer (körperlich)?

Dies umfasst biometrische Faktoren wie etwa Fingerabdruck, Stimme oder Muster der Iris. Solche Faktoren müssen individuell genug sein, um mit hoher Sicherheit nur zu einer einzigen Person zu gehören. Mehr noch als bei Wissen als Faktor ist hier das Problem zu beachten, dass ein geleakter biometrischer Faktor nicht zurückgenommen werden kann – und anders als ein Passwort auch nicht geändert. 

Jede einzelne Kategorie von Faktor hat somit ihre spezifischen Schwächen. Diese können ausgeglichen werden, indem man Faktoren aus mehr als einer Kategorie miteinander kombiniert. Dann handelt es sich um Multi-Faktor-Authentifizierung. In der Praxis handelt es sich heutzutage dabei meistens um die Kombination eines Faktors aus der Kategorie Wissen – also Passwort oder Passphrase – mit einem Faktor aus einer der beiden anderen Kategorien, Besitz oder Inhärenz.

Angriffsmöglichkeiten auf Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung ist mittlerweile so weit verbreitet, dass es sich auch für Angreifer lohnt, Strategien zum Austricksen des zweiten Faktors zu entwickeln. Und hier gibt es bereits eine ganze Reihe gängiger Methoden, die schon vielen Systemen zum Verhängnis geworden sind – oft zur Überraschung von Benutzern und IT-Abteilung, die sich auf die vermeintlich überlegene Sicherheit von MFA verlassen haben.

Zu den gängigen Angriffsmethoden auf Multi-Faktor-Authentifizierung zählen folgende:

SIM Swapping

Beim SIM Swapping erlangt ein Angreifer die Kontrolle über die Mobilfunknummer des Benutzers. Dies erreicht er, indem er den Mobilfunkanbieter dazu bringt, die Nummer auf eine SIM-Karte zu übertragen, die sich in seinem Besitz befindet. Dies geschieht typischerweise durch Social Engineering oder durch anderweitigen Diebstahl persönlicher Informationen.

Im Kontext von Angriffen auf MFA kann SIM Swapping verwendet werden, wenn der zweite Faktor der Besitz eines bestimmten Smartphones ist. Viele MFA-Systeme verwenden die Mobilfunknummer des Benutzers als einen der Authentifizierungsfaktoren, indem sie einen Bestätigungscode oder ein One-Time-Passwort (OTP) per SMS senden. Wenn ein Angreifer die Kontrolle über die Mobilfunknummer des Opfers erlangt, kann er diese SMS abfangen und somit die MFA-Maßnahme umgehen, um unbefugten Zugriff auf Konten zu erhalten.

Phishing

MFA soll vor Phishing schützen, doch der Schutz ist nicht perfekt. Auch im Kontext von MFA gibt es noch Möglichkeiten für Phishing: So können Hacker beispielsweise damit gleichzeitig Login-Daten und die zuvor genannten One-Time-Passwörter erbeuten und im Hintergrund sofort nutzen, um innerhalb der meist begrenzten OTP-Gültigkeitsdauer ins Konto einzubrechen. Hier kommen etwa SMS oder E-Mails mit Links zu gefälschten Webseiten zum Einsatz, wie man sie auch vom Phishing aus anderen Zusammenhängen kennt.

Social Engineering

Ähnlich breit sind die anderen Möglichkeiten des Social Engineering bei Angriffen auf MFA: Neben Phishing sind zum Beispiel auch Angriffe per Telefon verbreitet. Angreifer geben sich als legitime Vertreter einer Organisation aus und überreden Benutzer, ein One-Time-Passwort oder andere Informationen zu MFA-Faktoren am Telefon preiszugeben, eine Spionage-Malware zu installieren, die sich in die Kommunikation einklinkt („Man-in-the-Middle“-Angriff) oder eine damit infizierte Webseite zu besuchen. Beliebt und häufig erfolgreich ist es beispielsweise, dass der Angreifer vorgibt, ein neuer Support-Mitarbeiter der IT-Abteilung zu sein. Gern wird auch mit vermeintlichem Zeitdruck gearbeitet. Und auch soziale Medien werden immer häufiger eingesetzt: Angreifer arbeiten hier mit gefälschten Profilen und vermeintlich gemeinsamen Kontakten, um Vertrauen herzustellen.

MFA-Fatigue-Angriffe (Prompt Bombing)

Bei MFA-Fatigue-Angriffen, auch bekannt als Prompt Bombing, versucht der Angreifer, den Benutzer durch eine überwältigende Anzahl von Aufforderungen zur Authentifizierung zu ermüden. Ziel ist, dass der Benutzer, zermürbt von zahlreichen Prompts auf seinem Gerät, letztendlich so genervt ist, dass er die Aufforderung zur Authentifizierung bestätigt und dem Angreifer damit gewissermaßen die Tür öffnet.

Auch diese Angriffsart kommt vor allem dann zum Tragen, wenn ein Smartphone für den zweiten Faktor verwendet wird. Die Aufforderungen zur Authentifizierung können beispielsweise per SMS, E-Mail oder Notifications einer App eingehen. Angreifer können hier auch zusätzliche Verwirrung stiften, indem Form und Inhalt der Aufforderungen variieren.

Da MFA-Fatigue-Angriffe und Prompt Bombing eine besonders wichtige Angriffsart im Kontext MFA sind, haben wir weitergehende Informationen dazu für Sie in diesem Blogbeitrag aufbereitet. 

Hijacking von Session Tokens

Nach erfolgter Authentifizierung mittels MFA wird eine legitime Session des Benutzers durch einen Session Token (auch Session ID, Sitzungsbezeichner) identifiziert. Diesen kann ein Angreifer erbeuten und sich somit für den legitimen Benutzer ausgeben. Hierzu bestehen verschiedene Möglichkeiten: Ein Angreifer kann etwa versuchen, den Session Token direkt aus dem Browser des Benutzers zu stehlen, etwa durch Zugriff auf temporäre Dateien oder Cookies des Browsers. Andere Möglichkeiten für den Angreifer, an den Session Token zu kommen, ist eine Man-in-the-Middle-Attacke (MITM), bei der der Traffic zwischen Benutzer und Server mitgelesen wird, oder Cross-Site-Scripting (XSS): Hier wird bösartiger JavaScript-Code in eine anfällige Website eingeschleust. Dieser kann den Session Token abfangen und an den Angreifer senden, der dann die Sitzung des Benutzers übernehmen kann.

Wenn die Angreifer noch eine Stufe vorher ansetzen, können sie stattdessen auch die Seeds erbeuten, aus denen kryptografisch die Session Tokens erstellt werden – und damit eigene Session Tokens generieren.

Biometrisches Spoofing

Die bisher besprochenen Angriffsmethoden sind vor allem dann relevant, wenn Besitz als zweiter Faktor zum Tragen kommt. Aber auch biometrische Faktoren – Inhärenz – sind nicht vor Angriffen gefeit: Körperliche Faktoren können ebenfalls gefälscht werden. Spoofing von Fingerabdrücken funktioniert mit Hilfe von Gipsabdrücken; Fingerabdrücke können heutzutage sogar anhand von hochauflösenden Fotos rekonstruiert werden. Mit Silikon oder anderen transparenten oder halbtransparenten Materialien können dann Modelle hergestellt werden, mit denen Systeme sich überlisten lassen. Eine Gesichtserkennung kann mit Fotos oder Videos ausgetrickst werden, und auch Irisformen können gespooft werden, ebenfalls mit Fotos. Stimmenerkennung wiederum kann ausgehebelt werden, indem Angreifer ihre eigene oder eine fremde Stimme mit Hilfe eines Programms zur Audiobearbeitung der Stimme des legitimen Nutzers nachbilden.

Noch mehr zu diversen Angriffsmöglichkeiten auf MFA lesen Sie in unserem Blogbeitrag zum Thema.

MFA bleibt MFA mit Specops Password Auditor und Specops Password Policy

Doch ein Punkt wird in der Diskussion um sichere MFA häufig vergessen: Die oben beschriebenen Angriffsmethoden können nur dann erfolgreich sein, wenn die MFA im Prinzip gar keine MFA mehr ist. Denn: Wenn der erste Faktor, meist das Passwort, bereits kompromittiert ist, hängt die Sicherheit nur noch vom zweiten Faktor ab, und dessen Schwächen können vom Angreifer voll ausgenutzt werden. Nur wenn auch der erste Faktor sicher bleibt, kommt die Stärke von MFA voll zum Tragen.

In anderen Worten: in Zeiten der MFA wird die Passwortsicherheit nicht weniger wichtig, sondern im Gegenteil wichtiger als zuvor. Alle altbekannten Sicherheitsrisiken von Passwörtern sind weiterhin relevant: von zu kurzen Passwörtern oder im Wörterbuch stehenden Wörtern über Passwörter mit persönlichen Informationen wie dem Geburtsdatum bis hin zu gestohlenen Credentials – besonders kritisch, wenn Passwörter mehrfach verwendet oder innerhalb des Unternehmens weitergegeben werden.

Specops bietet Ihnen zwei Tools, um die Passwortsicherheit und damit auch die Sicherheit Ihrer MFA im Unternehmen zu gewährleisten: Specops Password Auditor und Specops Password Policy.

Mit Hilfe von Specops Password Auditor können Sie innerhalb Ihres Unternehmens feststellen, ob und wie viele unsichere oder kompromittierte Passwörter verwendet werden. Ein übersichtliches Dashboard zeigt Ihnen, welche Benutzer kompromittierte Passwörter in Verwendung haben und ob sie ihre Passwörter, entgegen Best Practices, teilen – beispielsweise mit Urlaubsvertretungen oder Praktikanten. Die Datenbank von Specops Password Auditor enthält dabei natürlich keine Passwörter, sondern verwendet zu diesem Abgleich nur Hashes aus dem Active Directory.

Nach der Erhebung des Ist-Status mit dem Specops Password Auditor stellt sich die Frage, wie sichere Passwörter in Zukunft in Ihrem Unternehmen sichergestellt werden können. Hier kommt Specops Password Policy zum Tragen: ein Passwortfilter mit deutlich mächtigeren Funktionen als denen des AD-nativen Passwortfilters.

Mit Specops Password Policy können Passwort-Richtlinien für verschiedene Benutzergruppen festgelegt werden, was mit Active Directory allein nicht möglich ist. So können beispielsweise für Administrator-Kennwörter strengere Anforderungen als für herkömmliche Benutzerkonten umgesetzt werden. Ein weiterer Vorteil von Specops Password Policy gegenüber den nativen Fähigkeiten von Active Directory ist das Length-Based Password Aging. Es belohnt Nutzer, die längere Kennwörter wählen, indem diese eine längere Ablauffrist haben oder auch gar nicht automatisch ablaufen.

Eine weitere wichtige Funktion von Specops Password Policy ist die Breached Password Protection, bei der vom Nutzer gewählte Passwörter gegen eine stets aktualisierte Liste von etwa 4 Millionen kompromittierten Passwörtern geprüft werden.

Mit Specops Password Auditor und Specops Password Policy können Sie somit sicherstellen, dass die Passwörter in Ihrer Organisation so stark sind und bleiben, dass keine der zahlreichen Angriffsmöglichkeiten auf den zweiten Faktor Ihrer MFA jemals zum Tragen kommt.

Wie würden die Lösungen von uns in Ihre Sicherheitsmaßnahmen passen? Starten Sie noch heute damit, ihre Authentifizierungsmaßnahmen sicherer zu gestalten und kontaktieren Sie uns, um Ihre spezifischen Anforderungen zu besprechen.

Autorin

Christina Czeschik Dr. Christina Czeschik ist Ärztin und Medizininformatikerin und schreibt seit etwa 10 Jahren als freie Autorin über Datenschutz, Informationssicherheit und Digitalisierung im Gesundheitswesen, unter anderem für die B2B-Content-Marketing-Agentur ucm.

(Zuletzt aktualisiert am 18/04/2024)

Zurück zum Blog