Privacy Handbuch

Einige Webdienste bieten 2-Faktor-Authentifizierung (2FA) als Alternative zum einfachen Login mit Username/Passwort an. Die Webseite USB-Dongle Authentication bietet eine Übersicht zu Webdiensten, die OTP und U2F für den sicheren Login unterstützen.

Bei der 2-Faktor-Auth. muss man als ersten Faktor in der Regel ein Wissen nachweisen (Passwort oder PIN) und als zweiten Faktor den Besitz eines kleinen Gerätes (ein OTP Generator, SecurityStick oder TAN-Generator) oder einer Chipkarte wie bei Bankaccounts. Das Verfahren ist durch Nutzung von Kreditkarten bekannt. Im Internet verwendet man statt Chipkarte oft One-Time-Passwörter (OTP), SecuritySticks (U2F, FIDO2/WebAuthn) oder das Smartphone (Passkey).

Wenn ein Angreifer durch Phishing, Videoüberwachung oder mit einem Keylogger den Usernamen und das Passwort für einen Account erbeutet, dann sollte es ohne den zweiten Faktor wertlos und nicht nutzbar sein. Das Passwort wird damit nicht überflüssig, es muss aber kein hochkomplexes, sicheres Passwort mehr sein. Eine 6-stellige Zahlenkombination ist nach NIST Special Publication 800-63B für 2-Faktor-Auth. ausreichend.

2-Faktor-Authentifizierung für das Online Banking

Mit der europäischen Zahlungsrichtlinie PSD2 wird für die Online-Abwicklung von Bankgeschäften die 2-Faktor-Auth. auch für den Login bei Webseiten zur Zahlungsabwicklung zwingend vorgeschrieben. Banken haben unterschiedliche Lösungen entwickelt, die sich von den üblichen Lösungen für 2-Faktor-Auth. bei anderen Webdiensten unterscheiden.

Bankwebseiten verwenden in der Regel einen TAN-Generator als zweiten Faktor und definieren den Geschäftsfall "Login", da diese Technk für Authorisierung von Transaktionen bereits vorhanden ist. Es gibt Hardware TAN-Generatoren und Smartphone Apps:

Welche Optionen man hat, muss man bei Kundensupport der Bank erfragen. Auch wenn es etwas umständlicher ist, würde ich beim Umgang mit Geld immer die sicherste Lösung bevorzugen und Hardware TAN-Generatoren in Kombination mit meiner EC-Chipkarte nutzen.

Moderne Verfahren für die Authentifizierung bei Webdiensten

Veraltete 2-Faktor-Authentifizierung mit One-Time-Passwort (OTP)

Bei der Zwei-Faktor-Authentifizierung mit zusätzlichem One-Time-Passwort besteht das Passwort aus zwei Komponenten. Der erste Teil ist üblicherweise ein Passwort oder n-stellige PIN, die man wissen muss. Der zweite Teil ist das OTP Token. Es wird von einem kleinen Spielzeug geliefert und ist nur einmalig verwendbar. Es gibt mehrere Verfahren für One-Time-Passwörter (OTP):

Zwei-Faktor-Authentifizierung mit One-Time Passwörtern (OTP) erschwert Phishing Angriffe und Angriffe mit Keyloggern. Das ist das Angreifermodell und dagegen soll OTP schützen. OTP macht Phishing Angriffe aber nicht unmöglich. B. Schneier hat bereits 2009 auf Schwächen hingwiesen.

Angriffe auf 2-Faktor-Authentifizierung mit OTP Token

2018 haben potente Hacker damit begonnen, 2FA mit OTP in größerem Umfang auszutricksen. Grund dafür ist die zunehmende Anwendung.
  1. Die Sicherheitsfirma CERTFA berichtete Dez. 2018 in dem Blogartikel The Return of The Charming Kitten von einer Spear-Phishing Kampagne iranischer Hacker gegen Google und Yahoo! Accounts, welche die 2-Faktor Auth. austricksen konnte.
  2. Amnesty International berichtete ebenfalls von einer Spear Phishing Angriffswelle aus Nahost gegen die Accounts von Menschenrechtsaktivisten, welche die 2-Faktor-Auth von ProtonMail, Tutanota, Google und Yahoo! austricksen konnte.
  3. Auf Github findet man Muraena und NecroBrowser oder evilginx2 als Open Source, die Phishing Angriffe auf 2FA automatisiert ausführen kann.

    Der Angreifer lockt das Opfer mit Phishing E-Mails o.ä. zum Login auf seine Phishing Webseite. Dort arbeitet ein Reverse-Proxy, der sich unbemerkt zwischen Nutzer und Webdienst einschleicht und die Authentifizierung an den richtigen Server weiterleitet. Nachdem die Session aufgebaut wurde, extrahiert der Reverse-Proxy die Session Cookies und reicht sie an eine Instanz des Browsers weiter. Das Schließen der Session (Logout) wird vom Reverse-Proxy blockiert und dem Nutzer wird vorgegaukelt, er hätte sich abgemeldet. Danach kann der Angreifer mit seinem Browser unbemerkt die weiterhin offene Session übernehmen.
  4. Wenn es einem Angreifer gelingt, zwei oder mehr TOTP Token abzugreifen und den Zeitpunkt der Verwendung zu protokollieren, kann er mit dem Tool "hashcat" versuchen, die Secret Keys ermitteln und dann selbst gültige TOTP Token erzeugen.
    • Die abgeschorchelten Token schreibt man zusammen mit den Zeitstempel im Format $TOKEN:$TIMESTAMP in eine Textdatei (im Beispiel: totp-inputs.txt): 833060:1263384780
      549115:1528848780
    • Mit dieser Textdatei füttert man "hashcat" und protokolliert die Ergebnisse: > hashcat -m17300 -a3 -o totp-secrets.potfile totp-inputs.txt ?l?l?l?l?l?l?l
    • Nach einigen Stunden oder Tagen Rechenzeit (abhängig von der Rechenleistung und der Qualität der Keys) schaut man sich die Ergebnisse an: > cut -d: -f3 totp-secrets.potfile | sort | uniq -c | sort -nr | head
    • Die Ergebnisliste kann man von oben beginnend ausprobieren. Nach weiteren 5min hat man einen TOTP Secret Key gefunden, der die Generierung gültiger Token ermöglicht, und man kann den Account übernehmen: > oauthtool --base32 --totp "Secret Key" -d 6
  5. OTP schützt nicht bei Einbrüchen auf dem Server. Da bei OTP der Server und Client den gleichen Algorithmus zur Berechnung und Verifizierung des One-Time-Passworts ausführen, kann ein Angreifer bei einem erfolgreichem Einbruch auf dem Server die OTP Parameter auslesen und somit gültige OTP Token berechnen, insbesondere für TOTP ist es einfach: > oauthtool --base32 --totp "Secret Key" -d 6 Aus dem gleichen Grund schützt 2-Faktor-Auth mit OTP nicht beim Zugriff staatlicher Behörden auf Passwort Hashes, wie es in dem Feb. 2020 von der Regierung beschlossenen Gesetzes zur Bekämpfung von Rechtsterrorismus vorgesehen ist. In dem Gesetz steht:
    Für die Auskunftserteilung sind sämtliche unternehmensinternen Datenquellen zu berücksichtigen.
    Und das schließt die Parameter zur Berechnung der OTP ein. Gegen diesen Angriff ist ausschließlich die Stärke des ersten Faktors (Passwort) relevant und das Hashverfahren, welches der Provider zum Schutz des gespeicherten Passwortes einsetzt.

Personalausweis

In Auswertung des US-Wahlkampfes 2016 und dem erheblichen Einfluss von gehackten E-Mail Accounts auf das Wahlverhalten der amerikanischen Bevölkerung hat die Bundesregierung die Cyber-Sicherheitsstrategien überarbeitet. Nach Ansicht der Bundesregierung ist die Sicherheit mit dem klassischen Benutzername/Passwort-Verfahren nicht mehr gegeben. Im Rahmen Cyber-Sicherheitsstrategien will die Regierung die Bürger stärker zur Nutzung der Onlineausweisfunktion des Personalausweises animieren.

Bezüglich des klassischen Benutzername/Passwort-Verfahren kann man mit der Bundesregierung übereinstimmen, aber die Onlineausweisfunktion des ePerso muss man nicht nutzen. Statt dessen sollte man Hardware Token nutzen, die nicht an eine ID-Karte gebunden sind und vollständig durch den Nutzer konfiguriert werden (z.B. Nitokey, Yubikey o.ä.)

Veraltete Verfahren, die man nicht mehr nutzen sollte

Lizenz: Public Domain