Warum die Leute sagen, dass die Zwei-Faktor-Authentifizierung nicht perfekt ist

Als die Zwei-Faktor-Authentifizierung erstmals eingeführt wurde, revolutionierte sie die Gerätesicherheit und trug dazu bei, Identitätsdiebstahl erheblich zu erschweren – allerdings mit geringfügigen Unannehmlichkeiten bei der Anmeldung.

Aber es ist weder perfekt noch hat es alle unsere Hacking- und Datendiebstahlprobleme gelöst. Einige aktuelle Nachrichten haben mehr Kontext dafür geliefert, wie Hacker die Zwei-Faktor-Authentifizierung umgangen und einen Teil unseres Vertrauens in sie untergraben haben.

Was genau ist eine Zwei-Faktor-Authentifizierung?

Die Zwei-Faktor-Authentifizierung fügt dem Anmeldevorgang für Geräte und Dienste eine zusätzliche Sicherheitsebene hinzu. Bisher gab es bei Anmeldungen nur einen einzigen Faktor zur Authentifizierung – typischerweise ein Passwort oder eine biometrische Anmeldung wie einen Fingerabdruckscan oder eine Gesichtserkennung, gelegentlich mit zusätzlichen Sicherheitsfragen. Das sorgte für eine gewisse Sicherheit, war aber alles andere als perfekt, insbesondere bei schwachen Passwörtern oder automatisch ausgefüllten Passwörtern (oder wenn Anmeldedatenbanken gehackt werden und diese Informationen im Dark Web auftauchen).

Die Zwei-Faktor-Authentifizierung behebt diese Probleme, indem sie einen zweiten Faktor hinzufügt, eine weitere Sache, die eine Person tun muss, um sicherzustellen, dass es sich wirklich um sie handelt und dass sie Zugriffsberechtigung hat. Typischerweise bedeutet das, dass Ihnen über einen anderen Kanal ein Code zugesandt wird, etwa eine SMS oder E-Mail vom Dienst, den Sie dann eingeben müssen.

Einige verwenden zeitkritische Codes (TOTP, Time-Based One Time Password), andere verwenden eindeutige Codes, die einem bestimmten Gerät zugeordnet sind (HOTP, HMAC-based One Time Password). Bestimmte kommerzielle Versionen verwenden möglicherweise sogar zusätzliche physische Schlüssel, die Sie zur Hand haben müssen.

Die Sicherheitsfunktion ist so weit verbreitet, dass Sie es wahrscheinlich gewohnt sind, Nachrichten wie „Wir haben Ihnen eine E-Mail mit einem sicheren Code zur Eingabe gesendet, bitte überprüfen Sie ihn.“ zu sehen Ihren Spam-Filter, falls Sie ihn nicht erhalten haben.“ Dies kommt am häufigsten bei neuen Geräten vor und obwohl es ein wenig Zeit in Anspruch nimmt, stellt es im Vergleich zu einem Ein-Faktor-Verfahren einen enormen Sicherheitssprung dar Methoden. Aber es gibt einige Mängel.

Das klingt ziemlich sicher. Was ist das Problem?

Kürzlich erschien ein Bericht des Cybersicherheitsunternehmens Sophos, der einen überraschenden neuen Weg darlegte Hacker überspringen die Zwei-Faktor-Authentifizierung: Kekse. Kriminelle haben „Cookies gestohlen“, was ihnen Zugriff auf praktisch alle Arten von Browsern, Webdiensten, E-Mail-Konten oder sogar Dateien verschafft.

Wie kommen diese Cyberkriminellen an diese Cookies? Nun, Sophos stellt fest, dass das Emotet-Botnet eine solche Cookie-stehlende Malware ist, die es auf Daten in Google Chrome-Browsern abgesehen hat. Menschen können gestohlene Cookies auch über Untergrundmarktplätze kaufen, was durch den jüngsten EA-Fall bekannt wurde, bei dem Anmeldedaten auf einem Marktplatz namens Genesis landeten. Das Ergebnis waren 780 Gigabyte an gestohlenen Daten, mit denen versucht wurde, das Unternehmen zu erpressen.

Das ist zwar ein hochkarätiger Fall, aber die zugrunde liegende Methode ist bekannt und zeigt, dass die Zwei-Faktor-Authentifizierung alles andere als ein Allheilmittel ist. Über den reinen Cookie-Diebstahl hinaus wurden im Laufe der Jahre noch eine Reihe weiterer Probleme festgestellt:

• Wenn ein Hacker hat Ihren Benutzernamen oder Ihr Passwort für einen Dienst erhalten haben, haben sie möglicherweise Zugriff auf Ihre E-Mail-Adresse (insbesondere, wenn Sie dasselbe Passwort verwenden) oder Ihre Telefonnummer. Dies ist insbesondere bei der SMS-/textbasierten Zwei-Faktor-Authentifizierung problematisch, da Telefonnummern leicht zu finden sind und dazu verwendet werden können, Ihr Telefon zu kopieren (neben anderen Tricks) und den SMS-Code zu erhalten. Es erfordert mehr Arbeit, aber ein entschlossener Hacker hat immer noch einen klaren Weg nach vorn.
• Separate Apps für die Zwei-Faktor-Authentifizierung wie Google Auth oder Duo sind weitaus sicherer, die Akzeptanzraten sind jedoch sehr gering. Menschen neigen dazu, aus Sicherheitsgründen für einen einzelnen Dienst keine weitere App herunterzuladen Organisationen finden es viel einfacher, einfach zu fragen: „E-Mail oder SMS?“ anstatt von Kunden zu verlangen, dass sie eine herunterladen Drittanbieter-App. Mit anderen Worten: Die besten Arten der Zwei-Faktor-Authentifizierung werden nicht wirklich verwendet.
• Manchmal lassen sich Passwörter zu einfach zurücksetzen. Identitätsdiebe können genügend Informationen über ein Konto sammeln, um den Kundendienst anzurufen oder andere Möglichkeiten zu finden, ein neues Passwort anzufordern. Dadurch wird häufig die erforderliche Zwei-Faktor-Authentifizierung umgangen und, wenn sie funktioniert, können Diebe direkt auf das Konto zugreifen.
• Schwächere Formen der Zwei-Faktor-Authentifizierung bieten wenig Schutz vor Nationalstaaten. Regierungen verfügen über Tools, die der Zwei-Faktor-Authentifizierung leicht entgegenwirken können, einschließlich der Überwachung von SMS-Nachrichten, der Nötigung von Mobilfunkanbietern oder dem Abfangen von Authentifizierungscodes auf andere Weise. Das sind keine guten Nachrichten für diejenigen, die nach Möglichkeiten suchen, ihre Daten vor totalitäreren Regimen geheim zu halten.
• Viele Datendiebstahlpläne umgehen die Zwei-Faktor-Authentifizierung vollständig und konzentrieren sich stattdessen darauf, Menschen zu täuschen. Schau einfach auf all die Phishing-Versuche, die vorgeben, von Banken zu kommen, Regierungsbehörden, Internetprovider usw. und fragen nach wichtigen Kontoinformationen. Diese Phishing-Nachrichten können sehr real aussehen und etwas enthalten wie: „Wir brauchen Ihre.“ Geben Sie auf unserer Seite einen Authentifizierungscode ein, damit wir auch bestätigen können, dass Sie der Kontoinhaber sind“, oder andere Tricks Codes erhalten.

Sollte ich weiterhin die Zwei-Faktor-Authentifizierung verwenden?

Absolut. Tatsächlich sollten Sie Ihre Dienste und Geräte durchgehen und die Zwei-Faktor-Authentifizierung dort aktivieren, wo sie verfügbar ist. Es bietet deutlich mehr Sicherheit gegen Probleme wie Identitätsdiebstahl als ein einfacher Benutzername und ein Passwort.

Sogar eine SMS-basierte Zwei-Faktor-Authentifizierung ist viel besser als gar keine. Tatsächlich hat das National Institute of Standards and Technology einmal davon abgeraten, SMS bei der Zwei-Faktor-Authentifizierung zu verwenden. aber dann wurde das im nächsten Jahr wieder zurückgenommen denn trotz der Mängel hat es sich immer noch gelohnt.

Wenn möglich, wählen Sie eine Authentifizierungsmethode, die nicht mit Textnachrichten verknüpft ist, und Sie erhalten eine bessere Sicherheit. Halten Sie außerdem Ihre Passwörter sicher und Verwenden Sie einen Passwort-Manager, um sie zu generieren für Anmeldungen, wenn Sie können.

Wie kann die Zwei-Faktor-Authentifizierung verbessert werden?

Die Abkehr von der SMS-basierten Authentifizierung ist das große aktuelle Projekt. Es ist möglich, dass die Zwei-Faktor-Authentifizierung auf eine Handvoll umgestellt wird Apps von Drittanbietern wie Duo, die viele der mit dem Prozess verbundenen Schwächen beseitigen. Und weitere Bereiche mit hohem Risiko werden in die MFA oder Multi-Faktor-Authentifizierung überführt, die eine dritte Anforderung hinzufügt, wie einen Fingerabdruck oder zusätzliche Sicherheitsfragen.

Der beste Weg, Probleme mit der Zwei-Faktor-Authentifizierung zu beseitigen, besteht jedoch darin, einen physischen, hardwarebasierten Aspekt einzuführen. Unternehmen und Regierungsbehörden fordern dies bereits für bestimmte Zugriffsebenen. In naher Zukunft besteht eine gute Chance, dass wir alle personalisierte Authentifizierungskarten in unserem Portemonnaie haben, die wir bei der Anmeldung bei Diensten über unsere Geräte durchziehen können. Es mag jetzt vielleicht seltsam klingen, aber mit dem steiler Anstieg von Cybersicherheitsangriffen, könnte es am Ende die eleganteste Lösung sein.

Empfehlungen der Redaktion

• Warum die Nvidia RTX 4060 Ti für 2023 einfach nicht reicht
• Hacker-Ränge explodieren – so können Sie sich schützen
• Warum der Inkognito-Modus von Google Chrome nicht das ist, was er zu sein verspricht
• Aus diesem Grund sagen die Leute, dass es sich nicht lohnt, auf die Nvidia RTX 4090 zu warten
• Aus diesem Grund wird empfohlen, das M1 MacBook Air anstelle des M2 zu kaufen

Werten Sie Ihren Lebensstil aufDigital Trends hilft Lesern mit den neuesten Nachrichten, unterhaltsamen Produktrezensionen, aufschlussreichen Leitartikeln und einzigartigen Einblicken, den Überblick über die schnelllebige Welt der Technik zu behalten.