2FA: Wie sicher sind TOTP, Fido, Passkeys, SMS und Push-Apps?
Die Webseite, auf der wir unsere Zugangsdaten eingeben sollen, sieht täuschend echt aus. Selbst die Domain scheint auf den ersten Blick richtig zu sein. Doch wenn wir unser Passwort eingeben, haben Kriminelle Zugriff auf unser Konto. Ein Massenphänomen im Internet.
Dabei sind die Täter durchaus innovativ und entwickeln dauernd neue, teils sehr ausgefeilte Tricks, um an unsere Zugangsdaten zu gelangen. Dabei ist Phishing längst nicht der einzige Angriff auf Zugangsdaten - sie können auch durch Ausprobieren, Erraten, Loggen oder aus Datenlecks bei anderen Diensten gewonnen werden.
Immer alles richtig zu machen, ist gar nicht so einfach - immer wieder fallen selbst IT-Profis in Eile auf eine Masche herein. Doch mit der Zwei-Faktor-Authentifizierung (2FA) oder auch Multi-Faktor-Authentifizierung (MFA) gibt es eine Möglichkeit, unsere Zugangsdaten abzusichern: Neben dem klassischen Benutzernamen und Passwort wird bei der 2FA eine weitere, vom Passwort unabhängige Komponente zum Log-in benötigt.
Entsprechend bieten immer mehr Dienste 2FA an - allerdings mit den unterschiedlichsten Ansätzen und Techniken, die wiederum ihre Tücken haben können. Wir geben einen Überblick über die gängigsten 2FA-Methoden und erklären, warum 2FA per SMS oder TOTP nicht vor Phishing schützen, das Fido-Protokoll jedoch schon.
Die größte Gefahr für 2FA ist das Zurücksetzen
Eine Gefahr aller Zwei-Faktor-Authentifizierungs-Verfahren sind die Dienste selbst. Denn in der Vergangenheit haben Kriminelle immer wieder gezeigt, wie leicht sich ein Konto übernehmen und die 2FA über einen simplen Anruf beim jeweiligen Anbieter deaktivieren lässt.
So fragte der Politiker-Hacker 0rbit im Namen des bekannten Youtubers Unge beim Twitter-Support nach, ob sie nicht dessen Zwei-Faktor-Authentifizierung auf Twitter ausschalten könnten. Twitter kam dem nach und schaltete das Sicherheitsfeature einfach aus - 0rbit konnte Unges Twitter-Konto übernehmen. Dabei soll die Zwei-Faktor-Authentifizierung genau vor diesem Szenario schützen.
Die sicherste 2FA ist letztlich auch nur so sicher wie das Protokoll des jeweiligen Anbieters. Entsprechend wichtig ist es für die Sicherheit, dass die verwendeten Dienste dem Support nicht erlauben, einfach so die 2FA abzustellen oder zu ersetzen. Das Zurücksetzen darf - wenn überhaupt - nur mit sehr hohen Hürden möglich sein. Das lässt sich für die Endanwender jedoch meist nicht ohne Weiteres überprüfen.
Auf der anderen Seite liegt es jedoch auch in der Verantwortung der Endanwender, sich nicht auszusperren und immer mehrere 2FA-Zugänge anzulegen. So kommen Nutzer beispielsweise mit einem zweiten, bereits registrieren Fido-Stick wieder an ihr Konto, falls der erste verloren wurde oder kaputtgegangen ist. Alternativ lassen sich mehrere 2FA-Systeme kombinieren oder ein Backup des TOTP-Schlüssels erstellen.
Auch wenn die Sicherheit der Zwei-Faktor-Authentifizierung von der Umsetzung und dem Support des jeweiligen Dienstes abhängt, ist es aus einer Sicherheitsperspektive sinnvoll, eine 2FA einzusetzen, aber auch die Schwächen und Stärken der verschiedenen Systeme zu kennen.
mTAN: Ein Code per SMS kann leicht abgefangen werden
Ein meist sechsstelliger Code, der per SMS zugestellt wird, dürfte der Klassiker unter den 2FA-Systemen sein. Der Code aus der SMS muss beim Log-in in ein Formular des Anbieters eingegeben werden: Stimmt er überein, wird der Zugang gewährt. Ein Angreifer müsste sich Zugriff auf unser (entsperrtes) Handy oder Smartphone beziehungsweise unsere SIM-Karte verschaffen, um sich anmelden zu können. So zumindest die Theorie.
In der Praxis gibt es jedoch vielfältige Angriffsmöglichkeiten gegen die Technik, die auch von Banken zur Authentifizierung von Überweisungen unter dem Namen mTAN eingesetzt wird. So lassen sich die SMS beispielsweise über einen Zugang zum SS7-Netzwerk (Signalling System #7) beschaffen .
Über die SS7-Protokolle vermitteln Provider Anrufe, SMS und Daten von einem Netz in das nächste. Ohne SS7 wäre zum Beispiel Roaming nicht möglich. Ursprünglich hatten nur staatlich kontrollierte Telefonanbieter Zugang zu diesem Netzwerk, mittlerweile können sich Firmen in dieses einkaufen - und ihre Zugänge weitervermieten. Auch Kriminelle können sich Zugang zum Netzwerk verschaffen.
Bereits 2014 wurde auf dem Hackerkongress 31C3 in mehreren Vorträgen gezeigt , was mit einem SS7-Zugang alles möglich ist: Handynutzer orten, SMS mitlesen, Gespräche abhören, Rufnummern umleiten, Telefone blockieren. 2017 wurde das SS7-Netzwerk von Kriminellen dazu genutzt, Bankkonten zu leeren . Sie leiteten die Bestätigungs-SMS mitsamt der mTAN auf ihre eigenen Mobilfunktelefonnummern um.
Per SIM-Swapping oder Direktmarketing an die SMS gelangen
Eine andere Angriffsmethode ist das sogenannte SIM-Swapping, bei dem sich Angreifer eine zweite oder neue SIM-Karte für einen Mobilfunkanschluss ausstellen lassen. So gaben sich Kriminelle beispielsweise 2015 als Mitarbeiter eines Telekom-Shops aus und bestellten bei der Telekom angeblich abhanden gekommene SIM-Karten nach. Über die nachbestellten Karten konnten sie ebenfalls an die SMS gelangen und die mTANs für das Onlinebanking abgreifen. Ähnliches passierte auch bei Telefonica .
Mit dem SMS-Nachfolger RCS werden Anrufe und SMS über das Internet abgewickelt - mit einem vorgegebenen Passwort. Mit diesem können auch klassische SMS unbemerkt mitgelesen werden. Eine entsprechende Konfigurationsdatei lässt sich von jeder App empfangen, wie Forscher der Sicherheitsfirma SRLabs zeigen konnten .
Doch all diesen Aufwand müssen Angreifer - zumindest in den USA - gar nicht betreiben. Dort demonstrierte ein Hacker einem Journalisten, wie er all dessen SMS über einen Direktmarketingdienst mitlesen konnte - für 16 US-Dollar pro Monat. Entsprechend unsicher sind SMS für die Übertragung eines zweiten Faktors. Ähnlich unsicher sind E-Mails , die in seltenen Fällen ebenfalls als zweiter Faktor genutzt werden.
Zu dem Sicherheits- kommt ein Datenschutzproblem: Denn die Telefonnummer ist häufig ein eindeutig identifizierendes Merkmal, das in der Vergangenheit bereits von Unternehmen wie Twitter zu Werbezwecken genutzt wurde - obwohl die Telefonnummer nur für die Zwei-Faktor-Authentifizierung angegeben wurde.
Stellt ein Anbieter ein anderes 2FA-Verfahren zur Verfügung, sollte man also aus Datenschutz- und Sicherheitsgründen lieber nicht auf die mTANs oder 2FA-SMS setzen.
TOTP: Der Schlüssel zum 30-Sekunden-Code
Das Sinnbild für Zwei-Faktor-Authentifizierung dürfte jedoch nicht die SMS oder die E-Mail sein, sondern eine App mit vielen Zahlenreihen, die sich ständig ändern. Das System heißt TOTP, was für Time-based One-time Password steht. Um es zu nutzen, muss anbieter- beziehungsweise serverseitig ein Schlüssel generiert und meist durch das Scannen eines QR-Codes in eine TOTP-App auf dem Smartphone übertragen werden.
Dadurch ist der Schlüssel sowohl dem Dienst als auch dem Nutzer bekannt. Auf Basis des Schlüssels und der aktuellen Uhrzeit wird alle dreißig Sekunden ein neuer kryptografischer Hashwert generiert, aus dem ein sechsstelliger Code abgeleitet wird. Der Nutzer gibt diesen neben Benutzername und Passwort beim Anmeldevorgang ein. Auch der Dienstanbieter generiert den Code auf Basis desselben Schlüssels. Stimmen beide Codes überein, wird der Nutzer angemeldet. Neben dem aktuellen Code wird häufig auch noch der vorherige Code akzeptiert.
Per App zum TOTP-Code
Die bekannteste dieser TOTP-Apps dürfte der Google Authenticator sein. Dieser und der Microsoft Authenticator gerieten jedoch 2020 in die Schlagzeilen, weil sie unter Android das Erstellen von Screenshots nicht deaktiviert hatten. Entsprechend hätte eine Schadsoftware einfach einen Screenshot der App erstellen und so an die 2FA-Codes gelangen können.
Die Open-Source-App andOTP ( Play Store(öffnet im neuen Fenster) , F-Droid(öffnet im neuen Fenster) ) nutzte bereits damals unter Android die entsprechende Sicherheitseinstellung und bietet zudem das Verbergen der Codes sowie einen Passwortschutz an. Zu den genannten Apps gibt es jedoch unzählige Software- und Hardwarealternativen. Damit man sich nicht selbst aussperrt, sollten mehrere Geräte verwendet werden beziehungsweise ein Backup des oben genannten Schlüssels oder QR-Codes erstellt werden.
TOTP ist nicht phishingresistent
Das TOTP-Verfahren hat allerdings auch seine Schwächen . Kennen Dritte den Schlüssel, können auch diese die 2FA-Codes erzeugen. Zudem ist das Verfahren nicht phishingresistent. TOTP erschwert Phishing zwar, macht es aber nicht unmöglich.
Geben Nutzer beispielsweise ihre Zugangsdaten sowie den TOTP-Code auf einer Phishing-Webseite ein, kann diese das kleine TOTP-Zeitfenster nutzen, um sich mit den Daten bei dem eigentlichen Dienst einzuloggen. Mit der Software Modlishka kann das Verfahren beispielsweise für Google-Dienste automatisiert werden und so auch trotz des zweiten Faktors mithilfe von Phishing Zugang zu den Nutzerdaten erlangt werden.
TOTP ist zwar solide und relativ weit verbreitet, doch es gibt mit Fido beziehungsweise Webauthn auch bessere, phishingresistente 2FA-Verfahren.
Fido & Passkeys: Sichere 2FA und Passwort-Killer
Fido ist wahrscheinlich das 2FA-System mit den höchsten Ansprüchen: Es soll einerseits sehr einfach zu benutzen sein, andererseits eine extrem hohe Sicherheit bieten und zu alledem auch noch die Passwörter abschaffen. Neben Fido-Sticks , also USB-Sicherheitsschlüsseln, mit denen man sich auf Knopfdruck per Fido bei Diensten anmelden kann, haben auch Betriebssysteme wie Android, iOS oder Windows via Windows Hello entsprechende Funktionen an Bord.
Im Hintergrund kommt hierbei Public-Key-Kryptografie zum Einsatz, ähnlich wie bei PGP oder SSH. Der öffentliche Schlüssel wird zwischen Nutzern und Webdienst ausgetauscht. Wer sich einloggen will, erhält eine Challenge vom Dienst, mit der er oder sie den Besitz des privaten Schlüssels nachweist - ohne dass der private Schlüssel das Gerät verlässt. Das Ergebnis wird an den Dienst geschickt, der über den öffentlichen Schlüssel überprüft, ob die sich einloggende Person auch wirklich im Besitz des privaten Schlüssels ist.
Von alledem bekommen die Anwender aber nichts mit: Sie müssen nach der Eingabe von Nutzername und Passwort nur einen Knopf auf einem Fido-Stick drücken oder die Fido-Funktion des Betriebssystems verwenden und sind durch einen phishingresistenten zweiten Faktor geschützt. Denn einerseits sind die Keys für jede Webseite unterschiedlich, anderseits werden keine abfishbaren Zahlen übertragen.
Passwortlos durch das Web
Da die Technik deutlich sicherer als ein Passwort ist, kann sie dieses auch ersetzen. Beim Log-in-Vorgang beispielsweise bei einer Nextcloud muss nur noch der Nutzername eingegeben und der entsprechende Button des Fido-Sticks beziehungsweise des Betriebssystems bestätigt werden. Der Bestätigungsvorgang kann beziehungsweise sollte zusätzlich biometrisch gesichert oder per PIN geschützt werden, welche am Rechner eingetippt werden muss.
Etwas aufwendig kann dabei allerdings die Verwaltung der Geräte sein. So sollten Anwender immer mehrere Fido-Geräte beim jeweiligen Dienst hinterlegen, damit man im Falle des Verlustes eines Geräts nicht vor verschlossener Tür steht. Alternativ kann auch ein zusätzliches 2FA-System wie TOTP aktiviert werden, mit dem man im Falle des Falles das Konto wieder öffnen kann - damit setzt man allerdings die sehr hohe Sicherheit von Fido herab.
Zukünftig sollen Betriebssysteme Passkeys synchronisieren
Um diesem Problem zu begegnen, haben Google, Apple und Microsoft im Mai 2022 eine neue Fido-Funktion angekündigt , die im Laufe des Jahres unter allen ihren Betriebssystemen zur Verfügung stehen sollen. So sollen die Fido-Keys (auch Passkeys genannt) in Zukunft auf mehreren und auch auf neuen Geräten automatisch zur Verfügung stehen.
Bei der Einrichtung eines neuen iPhones sollen dann beispielsweise nicht nur Backups und Einstellungen aus Apples Cloud heruntergeladen werden, sondern auch die Passkeys, mit denen sich die Nutzer dann bei Apps und Onlinediensten anmelden können. Offen bleibt allerdings die Frage, wie reibungslos dieser Prozess bei einem Wechsel von iOS zu Android oder umgekehrt funktioniert - oder wie die Passkeys zu einem Windows-Rechner übertragen werden sollen. Zudem werden die Nutzer ein entsprechendes Cloud-Konto bei Apple, Google oder Microsoft benötigen, um die Passkeys in der Cloud zu speichern.
Fido-Sticks mit Fido2
Wer lieber einen physischen Fido-Stick mag, sollte beim Kauf darauf achten, dass der Stick Fido2 unterstützt, da nur mit diesem auch passwortloses Anmelden möglich ist. Das ältere Fido1 beziehungsweise Fido U2F unterstützt ausschließlich den Einsatz als zweiten Faktor. Die Titan-Sticks von Google unterstützen beispielsweise bisher nur Fido U2F.
Empfehlenswert sind hingegen die Open-Source-Sicherheitsschlüssel von Solokeys (Test) oder Nitrokey (Test) . Für ein biometrisch gesichertes Log-in ohne die Eingabe einer PIN eignet sich der Yubikey Bio (Test) . Alternativ können die Fido2-Funktionen der Betriebssysteme Android, iOS oder Windows verwendet werden.
Fido ist durch seine Phishingresistenz ein sehr sicheres 2FA-Verfahren, mit dem selbst Passwörter abgeschafft werden können. Bietet ein Dienst die Technik an, sollte sie verwendet werden.
2FA-App: Wenn der zweite Faktor hundertmal klingelt
Statt auf etablierte Verfahren wie Fido oder TOTP zu setzen, gehen immer mehr Anbieter dazu über, ein eigenes 2FA-System einzurichten. Bei einem Log-in-Versuch erhalten die Account-Eigentümer eine Push-Nachricht in einer App auf ihrem Smartphone oder einen Anruf. Erst wenn sie die Push-Nachricht bestätigen oder den Anruf annehmen und per Tastendruck bestätigen, können sie sich anmelden. Eine entsprechende Funktion bietet beispielsweise Microsoft 365.
Das soll besonders komfortabel sein, bringt aber auch ein großes Problem mit sich: Wie reagiert eine abgelenkte oder schlaftrunkene Person, die mit Log-in-Versuchen bombardiert wird? Mit der MFA Bombing oder MFA Fatigue genannten Technik gelang es beispielsweise der Hackergruppe Lapsus$, die Multi-Faktor-Authentifizierung von Microsoft zu umgehen und das Unternehmen zu hacken .
"Rufe den Angestellten 100-mal um 1 Uhr nachts an, während er versucht zu schlafen, und er wird ihn höchstwahrscheinlich irgendwann annehmen. Sobald der Mitarbeiter einen Anruf annimmt [und die #-Taste drückt], kann auf das MFA-Registrierungsportal zugegriffen und ein weiteres Gerät registriert werden," erklärte ein Mitglied in der Lapsus$-Telegram-Gruppe nach dem Hack.
Hackergruppen hebeln 2FA-Apps und -Anrufe aus
Neben Lapsus$ hat auch die Hackergruppe Nobelium den Angriffsvektor in der Vergangenheit erfolgreich genutzt und "mehrere MFA-Anfragen an das legitime Gerät des Endbenutzers geschickt, bis der Benutzer die Authentifizierung akzeptierte, was dem Bedrohungsakteur schließlich den Zugriff auf das Konto ermöglichte," schreiben Forscher der Sicherheitsfirma Mandiant.
Voraussetzung für eine erfolgreiche Attacke ist dabei natürlich wie bei den anderen 2FA-Systemen auch, dass die Angreifer bereits über die Zugangsdaten zu dem entsprechenden Konto verfügen und nur noch den zweiten Faktor aushebeln müssen. Dies scheint bei Push-Nachrichten oder Anrufen jedoch besonders einfach zu sein. Die Sicherheit ist entsprechend fragwürdig, der Nervfaktor hingegen hoch.
Hinweis: Wir haben den Artikel am 24. November 2022 aktualisiert.