2FA-App: Wenn der zweite Faktor hundertmal klingelt

Statt auf etablierte Verfahren wie Fido oder TOTP zu setzen, gehen immer mehr Anbieter dazu über, ein eigenes 2FA-System einzurichten. Bei einem Log-in-Versuch erhalten die Account-Eigentümer eine Push-Nachricht in einer App auf ihrem Smartphone oder einen Anruf. Erst wenn sie die Push-Nachricht bestätigen oder den Anruf annehmen und per Tastendruck bestätigen, können sie sich anmelden. Eine entsprechende Funktion bietet beispielsweise Microsoft 365.

Stellenmarkt
  1. IT-Produktverantwortliche/IT- -Produktverantwortlicher (m/w/d) Referat Projekt- und Portfoliomanagement
    GKV-Spitzenverband, Berlin
  2. Spezialistin Supportmanagement (m/w/d)
    Stadtwerke München GmbH, München
Detailsuche

Das soll besonders komfortabel sein, bringt aber auch ein großes Problem mit sich: Wie reagiert eine abgelenkte oder schlaftrunkene Person, die mit Log-in-Versuchen bombardiert wird? Mit der MFA-Bombing genannten Technik gelang es beispielsweise der Hackergruppe Lapsus$, die Multi-Faktor-Authentifizierung von Microsoft zu umgehen und das Unternehmen zu hacken.

"Rufe den Angestellten 100-mal um 1 Uhr nachts an, während er versucht zu schlafen, und er wird ihn höchstwahrscheinlich irgendwann annehmen. Sobald der Mitarbeiter einen Anruf annimmt [und die #-Taste drückt], kann auf das MFA-Registrierungsportal zugegriffen und ein weiteres Gerät registriert werden", erklärte ein Mitglied in der Lapsus$-Telegram-Gruppe nach dem Hack.

Hackergruppen hebeln 2FA-Apps und -Anrufe aus

Neben Lapsus$ hat auch die Hackergruppe Nobelium den Angriffsvektor in der Vergangenheit erfolgreich genutzt und "mehrere MFA-Anfragen an das legitime Gerät des Endbenutzers geschickt, bis der Benutzer die Authentifizierung akzeptierte, was dem Bedrohungsakteur schließlich den Zugriff auf das Konto ermöglichte", schreiben Forscher der Sicherheitsfirma Mandiant.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe
Golem Karrierewelt
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    13./14.09.2022, virtuell
  2. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    22./23.09.2022, virtuell
Weitere IT-Trainings

Voraussetzung für eine erfolgreiche Attacke ist dabei natürlich wie bei den anderen 2FA-Systemen auch, dass die Angreifer bereits über die Zugangsdaten zu dem entsprechenden Konto verfügen und nur noch den zweiten Faktor aushebeln müssen. Dies scheint bei Push-Nachrichten oder Anrufen jedoch besonders einfach zu sein. Die Sicherheit ist entsprechend fragwürdig, der Nervfaktor hingegen hoch.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Fido: Sichere 2FA und Passwort-Killer
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Verwandte Artikel
artikel-bild
Neue Fido-Funktionen
Passwortlos auf allen Geräten
artikel-bild
Yubikey Bio im Test
Erst mit Fingerabdruck wird Fido wirklich passwortlos
artikel-bild
Lapsus$
Hackergruppe umgeht 2FA mit einfachem Trick
Meistgelesen
artikel-bild
Mojo Lens
Erster Tragetest mit Augmented-Reality-Kontaktlinse
artikel-bild
Autonomes Fahren
Fahrerlose Taxis treffen sich und blockieren eine Kreuzung
artikel-bild
Microsoft
Exchange Server von gut versteckter Hintertür betroffen
Kommentarübersicht
Re: Nervfaktor....
Truster 27. Jun 2022 / Themenstart

War/Ist bei Micrsosoft tatsächlich sehr leicht möglich, denn die App zeigt dir nicht an...

Re: Fido in der Praxis
gunterkoenigsmann 26. Jun 2022 / Themenstart

In den Account-Einstellungen unter "mein Konto sichern".

Gerade Banking läuft über SMS
JE 26. Jun 2022 / Themenstart

.. und selbstgeschriebene Verfahren. "Statt auf etablierte Verfahren wie Fido oder TOTP...

Re: Es kann nur einen geben ..
robinx999 26. Jun 2022 / Themenstart

Prepaid zahlung ist bei Google, Amazon, Netflix überhaupt kein Problem. Bei Spotify ist...

Kommentieren

Aktuell auf der Startseite von Golem.de
Krypto-Gaming
Spieleentwickler wollen nichts mit NFT zu tun haben

Die Gamesbranche wehrt sich bislang vehement gegen jedes neue Blockchain-Projekt. Manager und Entwickler erklären warum.
Von Daniel Ziegener

Krypto-Gaming: Spieleentwickler wollen nichts mit NFT zu tun haben
Artikel
  1. Mojo Lens: Erster Tragetest mit Augmented-Reality-Kontaktlinse
    Mojo Lens
    Erster Tragetest mit Augmented-Reality-Kontaktlinse

    Ein winziges Micro-LED-Display, ein Funkmodem, ein Akku - und kein Kabel: Der Chef von Mojo Lens hat seine AR-Kontaktlinse im Auge getragen.

  2. Ouca Bikes: E-Lastenrad für eine Viertel Tonne Fracht oder acht Kinder
    Ouca Bikes
    E-Lastenrad für eine Viertel Tonne Fracht oder acht Kinder

    Ouca Bikes hat ein elektrisches Lastenrad vorgestellt, das eine Zuladung von rund 250 kg transportieren kann. Das E-Bike fährt auf drei Rädern.

  3. Bill Nelson: Nasa-Chef warnt vor chinesischem Weltraumprogramm
    Bill Nelson
    Nasa-Chef warnt vor chinesischem Weltraumprogramm

    Gibt es Streit um den Mond? Nasa-Chef Bill Nelson fürchtet, dass China den Trabanten als militärischen Außenposten für sich haben möchte.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (G.Skill Trident Z Neo 32 GB DDR4-3600 149€ und Patriot P300 512 GB M.2 39€) • Alternate (Acer Nitro QHD/165 Hz 246,89€, Acer Predator X28 UHD/155 Hz 1.105,99€) • Samsung GU75AU7179 699€ • Kingston A400 480 GB 39,99€ • Top-PC mit Ryzen 7 & RTX 3070 Ti für 1.700€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /