Multifaktor-Authentisierung aushebeln – wie auch hier Social Engineering helfen kann

MFA – die Grundlagen und Umsetzungsmöglichkeiten

Prinzipiell stimmt die Aussage, dass MFA mehr Sicherheit bietet als die reine Kombination aus Benutzername und Passwort. Die Idee ist, dass man zusätzlich einen weiteren Faktor hat, der sich im Besitz des Benutzers befindet und für Angreifer nicht verfügbar ist. Doch wie genau dieser Faktor aussieht, ist nicht festgeschrieben. Daher haben sich im Laufe der Jahre mehrere verschiedene Ausprägungen ergeben. Im Folgenden sind die aktuell am weitesten verbreiteten Verfahren kurz dargestellt:

Sehr häufig ist die Verwendung eines entsprechenden Codes, der über einen weiteren Kanal an den Benutzer übermittelt und von diesem zusätzlich zu Benutzername und Passwort eingegeben wird. Dabei handelt es sich typischerweise um einen 5- bis 6-stelligen Code, der aus Zahlen oder Zahlen und Buchstaben besteht. Dieser kann auf verschiedene Arten an den Benutzer übermittelt werden:

• Der physische RSA-Token: Der Klassiker ist der Schlüsselanhänger, der alle 60 Sekunden eine neue 6-stellige Zahl ausgibt, die nur dem Token und einem Server innerhalb des Unternehmens bekannt sind.
• Der „Software-Token“: Die Funktion des Hardware-Tokens wird über eine spezielle App reproduziert, die nach der Installation auf dem Smartphone mit dem Dienst verbunden wird. Statt alle 60 Sekunden auf wechselnde Codes eines Schlüsselanhängers schauen zu müssen, öffnet man eine App.
• Eine E-Mail: Der Zugangscode lässt sich ggf. auch per E-Mail an eine vorgegebene Adresse schicken.
• SMS: Eine weitere Möglichkeit ist eine SMS-Nachricht, die an eine im System hinterlegte Mobiltelefonnummer geschickt wird. In dieser steht ebenfalls ein solcher Code, der identisch zu anderen Tokens funktioniert.

Dann gibt es noch die Authenticator-App: Sie wird immer beliebter und ist auch bei Microsoft im Einsatz. Dabei wird bei der Anmeldung mit Benutzername und Passwort eine Zeichenfolge angezeigt, die man in einer dafür vorgesehenen App (nach der Eingabe einer PIN für die App oder der Nutzung von Fingerabdruck oder Gesichtserkennung) nur noch mit einem Klick bestätigen muss. Dies ist der komfortabelste und häufig schnellste Weg.

Und last but not least gibt es mittlerweile ebenfalls spezielle USB-Geräte, die per FIDO2 die Authentisierung unterstützen. Diese Geräte speichern für verschiedene Dienste verschiedene Zugangsdaten und müssen für die Nutzung der Zugangsdaten entsperrt werden. Das erfolgt per Knopfdruck, Fingerabdruck oder PIN-Eingabe.

Die Angriffe auf die verschiedenen Methoden

Die oben dargestellten Methoden haben alle ihre Vor- und Nachteile. Für einen erfolgreichen Angriff auf einen per MFA geschützten Account benötigt man sowohl Benutzername und Passwort als auch Zugriff auf den zusätzlichen Faktor. Zunächst wird davon ausgegangen, dass Benutzername und Passwort bereits auf anderem Wege (z.B. Phishing) im Besitz des Angreifers sind. Eine Erpressung des Benutzers ist natürlich immer möglich, da dann der Benutzer „mitspielt“. Zusätzliche Beispiele für mögliche Angriffe auf die verschiedenen zusätzlichen Faktoren sind:

• Der physische Token: Hier ist der Diebstahl des physischen Tokens die wichtigste Angriffsform. Damit hängt die Sicherheit von physischen Tokens maßgeblich von der Achtsamkeit des Nutzers ab.
• Der Software-Token: Die Angriffe auf einen Software-Token sind prinzipiell identisch mit denen des Hardware-Tokens, außer dass an die Stelle des physischen Tokens das Smartphone des Nutzers tritt. Ist dieses gesperrt und mit einer PIN ausgestattet, ist das Sicherheitsniveau hier sogar etwas höher als beim physischen Token!
• Die E-Mail: Einen Code per E-Mail als zweiten Faktor zu nutzen ist aus Sicherheitssicht deutlich schlechter als es die Tokens sind. Dabei ergibt sich die folgende Angriffsform: Ist für alle Dienste eines Unternehmens Single-Sign-On (SSO) eingerichtet, hat ein Angreifer ggf. auch Zugriff auf das E-Mail-Postfach. Alternativ passiert es immer wieder, dass für mehrere Accounts (also auch das E-Mail-Postfach) identische Passwörter genutzt werden. Damit kann ein Angreifer unter Umständen ebenso das Postfach seines Opfers auf E-Mails mit Zugangscodes überwachen.
• SMS: Dieses Verfahren klingt erst einmal sicher, bis man sich vor Augen führt, dass das „Übernehmen“ einer Mobiltelefonnummer nicht allzu schwierig ist. Ein Angreifer kann (ebenfalls wieder per Social Engineering) den Mobilfunkanbieter eines Opfers dazu bringen, eine neue SIM-Karte mit der richtigen Mobilnummer an den Angreifer zu schicken. Schon erhält dieser alle SMS-Nachrichten mit den Zugangscodes. Zwar wird das Opfer ggf. informiert, dass eine neue SIM-Karte unterwegs ist, doch kann es dann schon zu spät sein.
• Die Authenticator-App: Bei dieser Form des zweiten Faktors hat sich eine neue Angriffsform entwickelt: Der Angreifer nervt den Nutzer so häufig mit Anfragen, dass dieser den Zugang bestätigt, selbst wenn er sich überhaupt nicht anmelden wollte. Dies kann entweder funktionieren, weil der Nutzer von einem technischen Fehler beim Dienst ausgeht, oder weil er irgendwann sehr entnervt über die Anfragen ist. In beiden Fällen ist die eigentliche Motivation, dass der Nutzer seine Ruhe haben will. Das kann vor allem dann passieren, wenn die Anfragen mitten in der Nacht ankommen. Kann der Nutzer sein Smartphone abschalten, ist dies natürlich die bessere Methode. Doch wenn zum Beispiel Rufbereitschaft besteht, ist das nicht immer möglich.
• Die USB-Keys mit Zugangsdaten, zumindest bei Nutzung von Fingerabdrücken oder PIN, sind die vielleicht eleganteste Methode. Sie ist nicht wirklich umständlicher als die Nutzung einer Authenticator-App. Und selbst wenn der USB-Key verloren geht: Ohne noch einen Faktor kommt der Angreifer nicht an die Zugangsdaten. Damit bleibt in diesem Fall „nur“ die Erpressung.

Bei den oben genannten Angriffen auf die Microsoft-Konten handelte es sich übrigens um eine Authenticator-App, sodass die Nutzer nachts so lange mit Anfragen bombardiert wurden, bis sie genervt bestätigt haben!

Fazit

Eine Multifaktor-Authentisierung ist zwar eine deutliche Verbesserung für den Schutz von Benutzer-Accounts. Allerdings ist eine MFA nicht automatisch die Lösung aller Probleme! Dadurch, dass es für den zusätzlichen Faktor mehrere Umsetzungsmöglichkeiten gibt, existieren auch mehr oder weniger sichere und mehr oder weniger komplizierte Varianten. Und wie in vielen Fällen: Die bequemste Möglichkeit (Authenticator-App) bietet Angreifern einen neuen, relativ einfachen Trick. Nämlich die Nutzer zur Bestätigung der Anmeldung zu verleiten, da man nicht an dem Gerät, an dem man sich anmeldet, einen Code eingeben muss, sondern die Freigabe über einen separaten Kanal und ein anderes Endgerät erfolgt. Also ergibt sich hier, genauso wie in vielen anderen Bereichen der IT-Sicherheit, eine Notwendigkeit für die Sensibilisierung der Nutzer.