2FA verschwindet in der Cloud


Zwei-Faktor-Authentifizierung (2FA bzw. MFA) ist ein wichtiger Sicherheitsmechanismus, der effizient gegen den Missbrauch von erratenen, ergaunerten oder kopierten Passwörtern schützt. Durch Googles Synchronisation in die Cloud wird der Schutz aber massiv geschwächt.

Ein „Extended Release“ dieses Artikels erschien einen Tag später bei DNIP: «Cloud untergräbt Sicherheit von Zwei-Faktor-Authentifizierung»

Wie wird 2FA umgesetzt?

Früher hat man 2FA vor allem mit dedizierter Hardware realisiert, beispielsweise mit

Wo der Kostendruck hoch ist (z.B. im Massenmarkt), wird heute versucht, auf zusätzliche Hardware zu verzichten. Deshalb sind im Low-Cost-Bereich z.B. folgende Mechanismen beliebt:

  • Mail: Verifikation, dass der Empfänger aktuell Zugang zum Mailkonto hat
  • SMS: Versand einer SMS an den Empfänger
  • Push-Nachrichten an den Empfänger, z.T. als App mit integrierter Bestätigung (z.B. Microsoft Authenticator)
  • One-Time-Passwords: Das oben genannte „Sicherheitstoken mit Display“, aber als reine App (Google Authenticator uvam.)

Verlust des zweiten Faktors

Bei den hardwarebasierten Verfahren kann natürlich diese Hardware verloren gehen oder geklaut werden; u.U. reicht auch das Ablesen/Abfotografieren der Information.

Auch bei den hardwarelosen Verfahren ist Hardware involviert: Beispielsweise das Mobiltelefon oder seine SIM-Karte. Auch die können geklaut werden oder man kann den Mobilproviders zur Ausstellung einer Ersatz-SIM bewegen.

Aber natürlich können diese Geräte ins Wasser fallen, mit Kleidern mitgewaschen werden oder auch ganz einfach vom Bus überfahren werden (ehrlich!). Oder das Gebäude kann abbrennen. Oder…

In allen diesen Fällen ist es extrem aufwändig, wieder Zugang zu den Konten zu bekommen. Also: Was tun?

Backup!

Ein Backup ist immer eine gute Idee. Das dachte sich auch Google, als sie das automatische Cloud-Backup für die 2FA-Token im Google Authenticator aktivierten.

Aber genau diese Funktion wurde in einem aktuellen Fall von einem Angreifer benutzt, um Kontrolle über die Server eines IT-Dienstleisters zu bekommen, wie dieser selbst in einem lesenswerten Blog-Beitrag dokumentiert.

What we had originally implemented was multi-factor authentication. But through this Google update, what was previously multi-factor-authentication had silently (to administrators) become single-factor-authentication

Übersetzung: „Was wir eigentlich ursprünglich implementiert hatten, war Multi-Faktor-Authentisierung. Aber durch dieses Google-Update wurde das, was vorher Multifaktor-Authentisierung war, in aller Stille zu einer Single-Faktor-Authentisierung (für die Administratoren).“

Snir Kodesh, „When MFA isn’t actually MFA„, Retool, 2023-09-13

Sicheres 2FA-Backup

Die betroffene Firma Retool teilt dankenswerterweise ihre Überlegungen zu 2FA-Cloud-Backup. Eine davon ist das Abraten von der Benutzung dieser Backupfunktion. Retool erklärt auch, wie man sie deaktiviert: Dazu muss man im Google Authenticator das „Google-Konto trennen“ („unlink Google account“).

Solange es keine einfache Möglichkeit gibt, dieses Backup der 2FA-Token durch ein zusätzliches Passwort zu sichern (welches man natürlich irgendwo sicher ablegen sollte), empfehle auch ich, die Synchronisation zu deaktivieren oder auf einen der anderen 2FA-Clients umzustellen, welche verschlüsselte Cloud-Backups seiner 2FA-Daten unterstützen.

Dazu zählt beispielsweise der Aegis Authenticator (Android) oder Authy (iOS+Android).

Happy secure 2FA!


Aktuelles zu IT-Sicherheit

  • 2FA verschwindet in der Cloud
    Zwei-Faktor-Authentifizierung (2FA bzw. MFA) ist ein wichtiger Sicherheitsmechanismus, der effizient gegen den Missbrauch von erratenen, ergaunerten oder kopierten Passwörtern schützt. Durch Googles Synchronisation in die Cloud wird der Schutz aber massiv geschwächt. Ein „Extended Release“ dieses Artikels erschien einen Tag später bei DNIP: «Cloud untergräbt Sicherheit von Zwei-Faktor-Authentifizierung» Wie wird 2FA umgesetzt? Früher hat man  … Weiterlesen
  • IT-Sicherheit ≠ Bürostuhl
    Der Bund hat am 17. Juli 2023 einen Brief an seine Informatikdienstleister verschickt. Die Forderungen reichen von selbstverständlich bis fragwürdig. Wir haben sie aus IT-Sicherheitssicht analysiert und mit Hinweisen für alle IT-Verantwortlichen versehen, egal ob öffentliche Hand oder Privatwirtschaft.
  • 📹 Cloud: Technologie für Datenschutz?
    Moderne Technologie wie Homomorphe Verschlüsselung könne vielleicht künftig den Datenschutz in der Cloud garantieren, meinte kürzlich der oberste Datenschützer. Hier Hintergründe und Schlussfolgerungen.
  • SBB-Kundentracking: Offene Fragen
    Seit einer Woche wird heiss über die zukünftige biometrische Verfolgung der Bahnhofsbesucher diskutiert. Hier ein paar Bemerkungen und Fragen zum «KundenFrequenzMessSystem 2.0» aus technischer Sicht.
  • Cloud-Sicherheit am Winterkongress
    Am Winterkongress der Digitalen Gesellschaft halten Adrienne Fichter, Patrick Seemann und ich zwei Vorträge zu Cloud-Sicherheit am 25. Februar. Es hat noch freie Plätze!
  • Jugendschutzgesetz: Ein kleiner Medien-Faktencheck
    In der letzten Woche haben sowohl Tagesanzeiger als auch NZZ über das JSFVG berichtet. In den jeweiligen Artikeln werden die Aussagen der Befürworter des aktuellen Gesetzestexts jedoch sehr unkritisch übernommen. Patrick Seemann und ich haben das nachgeholt.
  • Rechteausweitung von Google mit Maps
    Google Maps ändert seine URL von maps.google.com auf google.com/maps. Eigentlich sollte das keine Schlagzeile wert sein müssen. Wieso doch, darüber diskutieren Martin Steiger und ich.
  • Was uns Ransomware zu Datenschutz und Datensicherheit lehrt
    Winterzeit ist Viruszeit. Neben Menschen erkranken aktuell aber auch wieder vermehrt Computer, aktuell an Ransomware. In der Cloud ist ein grosser Mailhoster und dessen Kunden schon mehrere Tage betroffen. Ausserhalb der Cloud läuft eine Welle, welche sich auf russische Amtsstuben zu fokussieren scheint. Vermutlich werden Varianten von beiden aber demnächst auch anderswo auftauchen. Und auch  … Weiterlesen
  • Hinter den Kulissen der Verschlüsselung
    Verschlüsselung nutzen wir täglich: Kaum mehr eine Webseite, Nachricht oder Mail nutzt nicht mindestens ein bisschen Verschlüsselung. Und trotzdem wissen viele nicht, wie sie funktioniert. Hier ein Blick hinter die Kulissen, mit ganz wenig Mathematik.
  • Erklärt: Das Kleingedruckte bei Cyber-Versicherung
    Risiken von Cyberangriffen können hoch sein, sogar geschäftsgefährdend. Perfekter Schutz ist unmöglich. Aber ist die Versicherung die Lösung? Ein Podcast zusammen mit Martin Steiger.
  • Digitales Offline-Geld?
    Immer wieder taucht die Frage nach dem Einsatz von digitalem Geld bei Netzausfall auf. Hier eine Übersicht über die Möglichkeiten und ihre Vor- und Nachteile.
  • Per Anhalter durch die Blockchain
    Blockchain ist seit über 10 Jahren ganz oben auf der Hype-Hitparade und wird als magische Lösung für alle Digitalisierungsprobleme gehandelt. Aber nur ganz wenige Leute verstehen, was dahinter steckt und was das Buzzword bedeutet. Ändern wir das!

Bleibe auf dem Laufenden!

Erhalte eine Mail bei jedem neuen Artikel von mir.

Ca. 1-2 Mails pro Monat, kein Spam.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.


Webapps