Zweiter Faktor wird zu keinem Faktor
Fügt man der Anmeldung mit Passwort noch einen zweiten unabhängigen Faktor (2FA) hinzu, kann man die klassischen Risiken von Passwörtern reduzieren. Durch die zusätzlichen Funktionen und Systeme erhöht man aber gleichzeitig auch die Angriffsoberfläche. Zwei Vorfälle in den letzten Wochen haben das wieder gezeigt:
Der Chaos Computer Club (CCC) hatte eine Datenbank des Anbieters IdentifyMobile mit vielen SMS gefunden, die 2FA-Token und Einmalpasswörter enthielten. Neben den Telefonnummern der Empfänger und Hinweisen auf die genutzten Dienste als Absender enthielten die Nachrichten teilweise auch Kontext – beispielsweise Kontonummern und Beträge bei Onlinebanking-TANs. Der betroffene Dienstleister ist einer der großen Anbieter mit über 200 nutzenden Firmen, die von der Lücke betroffen waren. Bei fast allen 200 Millionen SMS in der Datenbank waren die Token vermutlich abgelaufen – aber ein zielgerichteter Angreifender hätte die Datenbank auch aktiv beobachten können. Inzwischen ist der Zugriff nicht mehr möglich.
Zuvor wurde bekannt, dass wegen eines Fehlers die Telefonnummern der Nutzenden der beliebten 2FA-App Authy bestimmt werden konnten. Die Telefonnummer ist für die Anmeldung kein kritisches Geheimnis. Mit dem Wissen lassen sich jedoch leichter zielgerichtete Phishingkampagnen gegen die Nutzenden starten.
Wenn beide Faktoren stark und unabhängig sind, führt ein Sicherheitsproblem bei einem der Faktoren nicht direkt zu einer erfolgreichen Anmeldung. Im ersten Fall hätten Angreifende also zusätzlich noch die Passwörter der Nutzenden, deren SMS sie sahen, kennen müssen. Daher ist es auch nach der Einführung von 2FA wichtig, für jeden der Faktoren weiterhin einen hohen Schutz zu organisieren statt zu sagen: „Die Passwörter können jetzt einfacher werden, wir haben ja zusätzlich die 2FA-App“.