Zwei-Faktor-Authentifizierung (2FA bzw. MFA) ist ein wichtiger Sicherheitsmechanismus, der effizient gegen den Missbrauch von erratenen, ergaunerten oder kopierten Passwörtern schützt. Durch Googles Synchronisation in die Cloud wird der Schutz aber massiv geschwächt.
Ein „Extended Release“ dieses Artikels erschien einen Tag später bei DNIP: «Cloud untergräbt Sicherheit von Zwei-Faktor-Authentifizierung»
Wie wird 2FA umgesetzt?
Früher hat man 2FA vor allem mit dedizierter Hardware realisiert, beispielsweise mit
- TAN-Listen aus Papier fürs Login beim eBanking
- Sicherheitstoken mit Display, welche eine sich regelmässig wechselnde Geheimnummer anzeigt
- Sicherheitstoken mit z.B. USB-Port, das seine Präsenz gegenüber einem entfernten Server kryptographisch bestätigt
Wo der Kostendruck hoch ist (z.B. im Massenmarkt), wird heute versucht, auf zusätzliche Hardware zu verzichten. Deshalb sind im Low-Cost-Bereich z.B. folgende Mechanismen beliebt:
- Mail: Verifikation, dass der Empfänger aktuell Zugang zum Mailkonto hat
- SMS: Versand einer SMS an den Empfänger
- Push-Nachrichten an den Empfänger, z.T. als App mit integrierter Bestätigung (z.B. Microsoft Authenticator)
- One-Time-Passwords: Das oben genannte „Sicherheitstoken mit Display“, aber als reine App (Google Authenticator uvam.)
Verlust des zweiten Faktors
Bei den hardwarebasierten Verfahren kann natürlich diese Hardware verloren gehen oder geklaut werden; u.U. reicht auch das Ablesen/Abfotografieren der Information.
Auch bei den hardwarelosen Verfahren ist Hardware involviert: Beispielsweise das Mobiltelefon oder seine SIM-Karte. Auch die können geklaut werden oder man kann den Mobilproviders zur Ausstellung einer Ersatz-SIM bewegen.
Aber natürlich können diese Geräte ins Wasser fallen, mit Kleidern mitgewaschen werden oder auch ganz einfach vom Bus überfahren werden (ehrlich!). Oder das Gebäude kann abbrennen. Oder…
In allen diesen Fällen ist es extrem aufwändig, wieder Zugang zu den Konten zu bekommen. Also: Was tun?
Backup!
Ein Backup ist immer eine gute Idee. Das dachte sich auch Google, als sie das automatische Cloud-Backup für die 2FA-Token im Google Authenticator aktivierten.
Aber genau diese Funktion wurde in einem aktuellen Fall von einem Angreifer benutzt, um Kontrolle über die Server eines IT-Dienstleisters zu bekommen, wie dieser selbst in einem lesenswerten Blog-Beitrag dokumentiert.
What we had originally implemented was multi-factor authentication. But through this Google update, what was previously multi-factor-authentication had silently (to administrators) become single-factor-authentication
Übersetzung: „Was wir eigentlich ursprünglich implementiert hatten, war Multi-Faktor-Authentisierung. Aber durch dieses Google-Update wurde das, was vorher Multifaktor-Authentisierung war, in aller Stille zu einer Single-Faktor-Authentisierung (für die Administratoren).“
Snir Kodesh, „When MFA isn’t actually MFA„, Retool, 2023-09-13
Sicheres 2FA-Backup
Die betroffene Firma Retool teilt dankenswerterweise ihre Überlegungen zu 2FA-Cloud-Backup. Eine davon ist das Abraten von der Benutzung dieser Backupfunktion. Retool erklärt auch, wie man sie deaktiviert: Dazu muss man im Google Authenticator das „Google-Konto trennen“ („unlink Google account“).
Solange es keine einfache Möglichkeit gibt, dieses Backup der 2FA-Token durch ein zusätzliches Passwort zu sichern (welches man natürlich irgendwo sicher ablegen sollte), empfehle auch ich, die Synchronisation zu deaktivieren oder auf einen der anderen 2FA-Clients umzustellen, welche verschlüsselte Cloud-Backups seiner 2FA-Daten unterstützen.
Dazu zählt beispielsweise der Aegis Authenticator (Android) oder Authy (iOS+Android).
Happy secure 2FA!
Aktuelles zu IT-Sicherheit
- Was verraten KI-Chatbots?«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz viele Leute ganz wenig Ahnung haben, wie die Datenflüsse bei KI-Chatbots wie ChatGPT etc. eigentlich ablaufen. Deshalb habe ich für… Was verraten KI-Chatbots? weiterlesen
- Sicherheit versteckt sich gerneWieso sieht man einer Firma nicht von aussen an, wie gut ihre IT-Sicherheit ist? Einige Überlegungen aus Erfahrung.
- Chatkontrolle: Schöner als FiktionWir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
- Chatkontrolle, die Schweiz und unsere FreiheitIn der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
- Cloudspeicher sind nicht (immer) für die EwigkeitWieder streicht ein Cloudspeicher seine Segel. Was wir daraus lernen sollten.
- IT sind nicht nur KostenOft wird die ganze IT-Abteilung aus Sicht der Geschäftsführung nur als Kostenfaktor angesehen. Wer das so sieht, macht es sich zu einfach.
- CrowdStrike, die DritteIn den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit ihrer KI ja auch schon frech versuchte. Andererseits haben die Diskussionen zum Vorfall viele Hinweise darauf gegeben, wie IT-Verantwortliche ihre… CrowdStrike, die Dritte weiterlesen
- Unnützes Wissen zu CrowdStrikeIch habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für die Kaffeepause.
- Marcel pendelt zwischem Spam und ScamBeim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
- Die NZZ liefert Daten an Microsoft — und Nein sagen ist nichtDie andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch auch wehrt, liebe User“ eingestellt sind und sich nicht ändern lassen. Da fühlt man sich gleich so richtig ernst genommen.… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
- «CrowdStrike»: Ausfälle verstehen und vermeidenAm Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und zeige auf, was wir tun müssen, damit dies nicht nochmals passiert. Leider betrifft uns das alle.
- Auch du, mein Sohn FirefoxIch habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
Schreibe einen Kommentar