Aktualisierungen als RSS-Feed oder im Changelog.

Privacy-Handbuch

Einige Webdienste bieten Zwei-Faktor-Authentifizierung (2FA) als Alternative zum einfachen Login mit Username/Passwort an. Die Webseite USB-Dongle Authentication bietet eine Übersicht zu Webdiensten, die OTP und U2F für den sicheren Login unterstützen.

Bei der Zwei-Faktor-Authentifizierung muss man als ersten Faktor in der Regel ein Wissen nachweisen (Passwort, Pin o.ä) und als zweiten Faktor den Besitz eines kleinen Gerätes (OTP-Generator o.ä.) oder einer Chipkarte wie bei Bankaccounts. Das Verfahren ist durch Nutzung von EC- und Kreditkarten jedem bekannt. Internet verwendet man statt Chipkarte meist One-Time-Passwort Generatoren (OTP) oder SecuritySticks (U2F).

Wenn ein Angreifer durch Phishing, Videoüberwachung oder mit einem Keylogger den Usernamen und das Passwort für einen Account erbeutet, dann sollte es ohne den zweiten Faktor wertlos und nicht nutzbar sein. Das Passwort wird damit nicht überflüssig, es muss aber kein hoch-komplexes, sicheres Passwort mehr sein. Eine 6-stellige Zahlen­kombination ist nach NIST Special Publication 800-63B für 2FA ausreichend.



One-Time-Passwort (OTP): Bei der Zwei-Faktor-Authentifizierung mit zusätzlichem One-Time-Passwort besteht das Passwort aus zwei Komponenten. Der erste Teil ist üblicherweise ein n-stellige PIN, die man wissen muss. Der zweite Teil ist das One-Time-Passwort. Es wird von einem kleinen Spielzeug geliefert und ist nur einmalig verwendbar. 

OTP schützt nicht bei Einbrüchen auf dem Server. Da bei OTP der Server und Client den gleichen Algorithmus zur Berechnung und Verifizierung des One-Time-Passworts ausführen, kann ein Angreifer bei einem erfolgreichem Einbruch auf dem Server die Parameter auslesen und könnte somit auch gültige One-Time-Passwörter berechnen.

Zwei-Faktor-Authentifizierung mit One-Time Passwörtern (OTP) erschwert Phishing Angriffe, macht sie aber nicht unmöglich. Bruce Schneier hat in der Theorie bereits 2009 darauf hingwiesen. 2018 war das Jahr, in dem potente Hacker begonnen haben, 2FA mit OTP in größerem Umfang auszutricksen. (Grund dafür ist die zunehmende Anwendung von OTP.)
  1. Die Sicherheitsfirma CERTFA berichtete Dez. 2018 in dem Blogartikel The Return of The Charming Kitten von einer Spear-Phishing Kampagne iranischer Hacker gegen Google und Yahoo! Accounts, welche die 2-Faktor Auth. austricksen konnte.
  2. Amnesty International berichtete ebenfalls von einer Spear Phishing Angriffswelle aus Nahost gegen die Accounts von Menschenrechtsaktivisten, welche die 2-Faktor-Auth von ProtonMail, Tutanota, Google und Yahoo! austricksen konnte.
  3. Anmerkung: bereits 2009 hat Bruce Schneier eine kryptografische gesicherte Authentifizierung gefordert, wie es der Security Stick (U2F, s.u.) bietet. U2F setzt sich allerding nur langsam durch und ist bei E-Mail Providern kaum verfügbar.
Es gibt mehrere Verfahren für One-Time-Passwörter (OTP):

SecurityStick (U2F): ist ein kryptografisches Public Key Verfahren zur Authentifizierung mit einem kleinen SecurityStick (z.B. Nitrokey U2F oder verschiedene Yubikeys), dass im Okt. 2014 standardisiert wurde. Im Gegensatz zu OTP schützt U2F auch bei Einbrüchen auf dem Server und bei der Eingabe des Passwortes auf Phishingseiten.

Das Verfahren läuft im Hintergrund automatisch ab, man muss nur den Security­Stick vor dem Login anschließen. Der Server sendet ein zufälliges Challenge an den Client (Browser), der Browser gibt diesen Input zusammen mit der URL an den SecurityStick weiter, der mit einem geheimen Schlüssel eine Signatur über diese Daten berechnet. Diese Signatur wird als Response an den Server zurück gesendet und kann dort mit dem passenden public Key verifiziert werden.

U2F muss vom Browser und vom Webdienst unterstützt werden. Google Chrome bietet nativen Support für U2F. Mozilla arbeitet an einer Implementierung für Firefox. Bisher ist die Umsetzung noch nicht ganz vollständig. Man kann U2F in Firefox aber bereits aktivieren, indem man folgende Variable unter "about:config" setzt: security.webauth.u2f = true Auf der Testseite von Yubico kann man prüfen, ob man mit U2F einen Account erstellen kann und den SecurutyStick für den Login nutzen kann. Außerdem soll die Firefox Implementierung mit Google Accounts und Github problemlos funktionieren. (Haben wir nicht getestet.)

(Für Firefox Nutzer: Man sollte sich aber auch überlegen, ob man für sicherheitsrelevante Aufgaben wirklich Implementierungen im Beta Status verwenden möchte.)



VerificationCode: nutzt SMS. SMS-basierte Verfahren zur Authentifizierung gelten als nicht mehr sicher. Es gibt mehrere Publikationen zu dem Theme. Das NIST empfiehlt, SMS nicht mehr als 2. Faktor fir die Authentifizierung zu nutzen. 
Out of band verification using SMS is deprecated, and will no longer be allowed in future releases of this guidance. (NIST Special Publication 800-63B)



ePerso: In Auswertung des US-Wahlkampfes 2016 und dem erheblichen Einfluss von gehackten E-Mail Accounts auf das Wahlverhalten der amerikanischen Bevölkerung hat die Bundesregierung die Cyber-Sicherheitsstrategien überarbeitet. Nach Ansicht der Bundes­regierung ist die Sicherheit mit dem klassischen Benutzername/Passwort-Verfahren nicht mehr gegeben. Im Rahmen Cyber-Sicherheitsstrategien will die Regierung die Bürger stärker zur Nutzung der Onlineausweisfunktion des Personalausweises animieren.

Bezüglich des klassischen Benutzername/Passwort-Verfahren stimmen wir mit der Bundes­regierung überein. Wir empfehlen aber die Onlineausweisfunktion des ePerso nicht. Statt dessen sollte man Hardware Token nutzen, die nicht an eine ID-Karte gebunden sind und vollständig durch den Nutzer konfiguriert werden (z.B. Nitokey oder Yubikey o.ä.)
Lizenz: Public Domain