2FA: Wie sicher sind TOTP, Fido, SMS und Push-Apps?

Die Webseite, auf der wir unsere Zugangsdaten eingeben sollen, sieht täuschend echt aus. Selbst die Domain scheint auf den ersten Blick richtig zu sein. Doch wenn wir unser Passwort eingeben, haben Kriminelle Zugriff auf unser Konto. Ein Massenphänomen im Internet.

Dabei sind die Täter durchaus innovativ und entwickeln dauernd neue, teils sehr ausgefeilte Tricks, um an unsere Zugangsdaten zu gelangen. Dabei ist Phishing längst nicht der einzige Angriff auf Zugangsdaten - sie können auch durch Ausprobieren, Erraten, Loggen oder aus Datenlecks bei anderen Diensten gewonnen werden.

Immer alles richtig zu machen, ist gar nicht so einfach - immer wieder fallen selbst IT-Profis in Eile auf eine Masche herein. Doch mit der Zwei-Faktor-Authentifizierung (2FA) oder auch Multi-Faktor-Authentifizierung (MFA) gibt es eine Möglichkeit, unsere Zugangsdaten abzusichern: Neben dem klassischen Benutzernamen und Passwort wird bei der 2FA eine weitere, vom Passwort unabhängige Komponente zum Log-in benötigt.

Entsprechend bieten immer mehr Dienste 2FA an - allerdings mit den unterschiedlichsten Ansätzen und Techniken, die wiederum ihre Tücken haben können. Wir geben einen Überblick über die gängigsten 2FA-Methoden und erklären, warum 2FA per SMS oder TOTP nicht vor Phishing schützen, das Fido-Protokoll jedoch schon.

Die größte Gefahr für 2FA ist das Zurücksetzen

Eine Gefahr aller Zwei-Faktor-Authentifizierungs-Verfahren sind die Dienste selbst. Denn in der Vergangenheit haben Kriminelle immer wieder gezeigt, wie leicht sich ein Konto übernehmen und die 2FA über einen simplen Anruf beim jeweiligen Anbieter deaktivieren lässt.

So fragte der Politiker-Hacker 0rbit im Namen des bekannten Youtubers Unge beim Twitter-Support nach, ob sie nicht dessen Zwei-Faktor-Authentifizierung auf Twitter ausschalten könnten. Twitter kam dem nach und schaltete das Sicherheitsfeature einfach aus - 0rbit konnte Unges Twitter-Konto übernehmen. Dabei soll die Zwei-Faktor-Authentifizierung genau vor diesem Szenario schützen.

Die sicherste 2FA ist letztlich auch nur so sicher wie das Protokoll des jeweiligen Anbieters. Entsprechend wichtig ist es für die Sicherheit, dass die verwendeten Dienste dem Support nicht erlauben, einfach so die 2FA abzustellen oder zu ersetzen. Das Zurücksetzen darf - wenn überhaupt - nur mit sehr hohen Hürden möglich sein. Das lässt sich für die Endanwender jedoch meist nicht ohne Weiteres überprüfen.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Auf der anderen Seite liegt es jedoch auch in der Verantwortung der Endanwender, sich nicht auszusperren und immer mehrere 2FA-Zugänge anzulegen. So kommen Nutzer beispielsweise mit einem zweiten, bereits registrieren Fido-Stick wieder an ihr Konto, falls der erste verloren wurde oder kaputtgegangen ist. Alternativ lassen sich mehrere 2FA-Systeme kombinieren oder ein Backup des TOTP-Schlüssels erstellen.

Auch wenn die Sicherheit der Zwei-Faktor-Authentifizierung von der Umsetzung und dem Support des jeweiligen Dienstes abhängt, ist es aus einer Sicherheitsperspektive sinnvoll, eine 2FA einzusetzen, aber auch die Schwächen und Stärken der verschiedenen Systeme zu kennen.