Die Zwei-Faktor- oder Multifaktor-Authentisierung (2FA beziehungsweise MFA) gilt bei Sicherheitsexperten als geeignetes Mittel, um die übliche Anmeldung mit Benutzernamen und Passwort sicherer zu machen. Bereits seit Langem ist bekannt, dass die Verwendung von Kennwörtern hohe Risiken in sich birgt. Das Hasso-Plattner-Institut veröffentlicht seit mehreren Jahren die Liste der am häufigsten verwendeten Passwörter, und auch 2021 standen wieder die gleichen alten Bekannten auf den vordersten Rängen: 123456, Passwort und 12345.
Wenn ein krimineller Hacker den Benutzernamen eines Anwenders kennt, häufig die E-Mail-Adresse oder eine Kombination aus dem Anfangsbuchstaben des Vornamens und dem Nachnamen, hat er gute Chancen, sich durch Ausprobieren der Kennwörter aus der Liste in das fremde Konto einloggen zu können. Hinzu kommt als weiterer Unsicherheitsfaktor die enorme Rechenpower moderner Computer, die in wenigen Sekunden Millionen von Buchstaben-, Zahlen- und Zeichenkombinationen durchprobieren und so auch komplexere Passwörter knacken können.
Mit 2FA wird bei der Anmeldung neben dem Kennwort ein weiterer Faktor überprüft. Das kann ein Zahlencode in einer automatisch generierten SMS, ein Code in einer Authentifizierungs-App, ein QR-Code oder auch ein Hardware-basierter Token sein. Das Sicherheitslevel steigt damit deutlich an. Beim Onlinebanking ist 2FA in der EU daher bereits seit mehreren Jahren Pflicht.
Das Hasso-Plattner-Institut ermittelt jedes Jahr die zehn am häufigsten verwendeten deutschen Passwörter. Bereits seit vielen Jahren steht dabei 123456 an der Spitze der Liste.
IDG
Doch wer glaubt, dass die erweiterte Anmeldung einen sicheren Schutz gegen das Ausspähen fremder Konten bietet, der irrt. Denn die kriminelle Szene hat mittlerweile mehrere Verfahren sowie zahlreiche Tools entwickelt, um eine mit 2FA gesicherte Anmeldung zu überwinden. So fand das amerikanische Onlinemagazin The Record im Dezember 2021 in den dunklen Ecken des Internets mehr als 1200 Tools, die auf die eine oder andere Weise dabei helfen sollen, mit 2FA geschützte Konten zu knacken.
Das amerikanische Online- Magazin The Record fand im Internet mehr als 1200 Tools, die von Hackern eingesetzt werden, um eine Zwei-Faktor- Authentisierung zu umgehen.
IDG
Zwei-Faktor-Authentifizierung: Alles, was Sie wissen müssen
Gefahren bei Nutzung eines zweiten Gerätes zur Anmeldung
Die einfachste Methode zum Knacken von 2FA nutzt aus, dass viele Anwender für die Anmeldung bei ihren Onlinekonten lediglich ein Gerät benutzen, in der Regel ihr Smartphone. Sie rufen die Website des gewünschten Dienstes mit dem Browser auf dem Telefon auf, melden sich per Benutzernamen und Kennwort an, warten die übermittelte SMS mit dem Sicherheitscode ab und tippen ihn ebenfalls auf dem Smartphone bei der Website ein.
Im Internet kursieren mittlerweile Hacker-Tools, die speziell für den Einsatz auf Smartphones entwickelt wurden. Sie laufen unbemerkt im Hintergrund und warten darauf, dass der Besitzer des Geräts die Website einer Bank oder auch eines Onlineshops aufruft. Dann protokolliert ein Keylogger zunächst die Eingabe von Benutzernamen und Passwort und sendet die Daten automatisiert an den Rechner des Hackers. Danach hält die Malware Ausschau nach der SMS, liest nach dem Eintreffen den Sicherheitscode aus und schickt ihn ebenfalls an den Hacker.
Zwar müssen Benutzername, Kennwort und Code innerhalb kurzer Zeit eingegeben werden. In der Regel haben die Hacker nur 30 Sekunden Zeit. Aber der Vorgang lässt sich per Software automatisieren und damit beschleunigen. Der Kriminelle kann dann sofort auf ein frei zugängliches Konto zugreifen.
Die Deutsche Bank benutzt als zweiten Faktor für die Anmeldung beim Online-Banking eine Photo-TAN, die mittels einer Grafik auf der Website und dem Smartphone beziehungsweise einem Lesegerät erzeugt wird.
IDG
Risiko Social Engineering
Bei einer Variante dieses Angriffs haben Hacker in der Vergangenheit ausgenutzt, dass es von Fall zu Fall gelang, den Mobilfunkanbieter beziehungsweise einen seiner Mitarbeiter zu überzeugen, die Handynummer der Zielperson auf eine andere SIM-Karte zu übertragen. Auf diese Weise konnte beispielsweise der Account von Twitter-Gründer Jack Dorsey geknackt werden.
Sobald sich der Kontoinhaber bei seinem Account anmeldet, werden die Benutzerdaten von einer Malware protokolliert, die sie dann sofort an die Kriminellen weiterleitet. Die SMS geht dann direkt an das Telefon der Hacker, die damit Zugriff auf das Konto erlangen. Diese Methode hat für die Kriminellen den Vorteil, dass sie auch bei der Anmeldung mit zwei unterschiedlichen Geräten funktioniert.
Darüber hinaus sind Fälle bekanntgeworden, bei denen die Hacker zunächst den Benutzernamen und das Passwort eines Kontos ausspähten. Anschließend riefen sie den Kontoinhaber an, gaben sich beispielsweise als Mitarbeiter der Bank aus und überzeugten ihn, den Code in der SMS vorzulesen.
Auch Authenticator-Apps bergen Schlupflöcher
Zunehmend beliebt ist der Einsatz von Authenticator-Apps wie etwa der Microsoft- oder der Google-Authenticator. Sie können dank des TOTP-Standards (Time-based One-Time Password, zeitbasierter Einmal-Code) für die Anmeldung bei einer Vielzahl von Onlinediensten genutzt werden. Bei der Initialisierung erzeugen sowohl der Server des Dienstes als auch die App einen gemeinsamen geheimen Schlüssel, der anschließend als Basis für die Berechnung eines sechs- oder achtstelligen Codes dient. Ein solcher Code lässt sich nur einmalig verwenden und ist 30 Sekunden lang gültig, dann wechselt er.
Der Vorteil dieses Verfahrens ist, dass App und Server nach der ersten Initialisierung keine Daten mehr austauschen, welche die Hacker abfangen könnten. Der Nachteil ist, dass bei Verlust oder Diebstahl des Smartphones andere Personen Zugriff auf die Codes bekommen, während der Account-Inhaber zumindest vorübergehend keinen Zugang hat.
Die Verwendung einer Authenticator-App führt zwar zu einer stark erhöhten Sicherheit bei der Anmeldung. Einen hundertprozentigen Schutz gibt es jedoch auch damit nicht. Eine Möglichkeit wäre, den Server zu hacken und dort den geheimen Schlüssel zu stehlen. Entsprechende Fälle sind jedoch bislang noch nicht bekanntgeworden.
Apps wie der Microsoft Authenticator verwenden einen Algorithmus, um auf Basis der aktuellen Uhrzeit und eines geheimen Schlüssels einen Zugangscode zu berechnen.
IDG
Pass the Cookie: Umleitung auf gefälschte Websites
Bei einer anderen Variante wird der Anwender per Phishing auf eine gefälschte Website gelockt, der zugehörige Server agiert nun als Proxy. In der Annahme, dass er sich auf der echten Site befindet, gibt der Benutzer seine Anmeldedaten und anschließend den TOTP-Code ein. Sobald die Verbindung aufgebaut ist, leitet der Proxy-Server das Session-Cookie oder die Session-ID an einen speziellen Browser weiter. Zum Schluss wird das Schließen der Verbindung durch den Proxy blockiert, gleichzeitig gaukelt der Server dem Benutzer jedoch vor, er habe sich erfolgreich abgemeldet. Nun hat der Hacker freien Zugang zu dem Account. Das Verfahren ist auch als „Pass the Cookie“ bekannt. Auf Marktplätzen im Darknet findet heute ein reger Handel mit geklauten Sessio-Cookies statt.
Im Jahr 2019 stellten Sicherheitsexperten die Programme Muraena und Necrobrowser vor, mit denen sich solche Angriffe automatisieren lassen; beide Anwendungen sind auf Github frei verfügbar. Die Software Modlishka wurde als Testwerkzeug für die Sicherheit von Websites entwickelt und eignet sich speziell für das Überwinden der 2FA bei Google-Diensten. Mittlerweile existieren Abwehrmöglichkeiten für diese Angriffe, die jedoch nicht von jeder Website umgesetzt werden.
Mit den Open-Source-Tools Muraena und Necrobrowser lassen sich Angriffe auf die Authentisierung mittels Authenticator- Apps automatisieren und effektiver gestalten.
IDG
Es besteht aber auch die zumindest theoretische Möglichkeit, mehrere Benutzer-Anmeldungen abzuwarten und die übermittelten TOTP-Codes mitsamt des exakten Zeitstempels zu speichern. Die Uhrzeit ist wichtig, da der zwischen Client und Server ausgetauschte Hash-Wert zum einen auf dem geheimen Schlüssel und zum anderen auf der Zahl der Sekunden seit dem 1. Januar 1970 basiert, der so genannten Unix-Zeit, die in diesem Fall auf 30 Sekunden gerundet wird. Der Hacker kann dann mit diesen Daten und dem Tool hashcat versuchen, den geheimen Schlüssel zu rekonstruieren, um eigene Codes erzeugen zu können. Dazu sind in der Regel jedoch mehrere Tage Rechenzeit erforderlich.
Diese Tipps helfen, sich zu schützen
Auch bei einem zweistufigen Anmeldeverfahren sollten Sie nicht sorglos werden. Beachten Sie insbesondere diese Tipps:
Eine der größten Bedrohungen für die Sicherheit von 2FA ist Phishing, also der Versuch, über gefälschte Webseiten, E-Mails oder Messenger-Nachrichten in den Besitz etwa von Anmeldedaten zu kommen. Sehen Sie sich daher Mails, die vermeintlich von Ihrer Bank oder einem Onlineshop kommen, genau an. Achten Sie auf die Absenderadresse, auf falsche Schreibweisen, und werden Sie auch misstrauisch, wenn der Absender versucht, Druck auf Sie auszuüben. Überprüfen Sie bei Websites die URL und ebenfalls die Rechtschreibung.Führen Sie Banktransaktionen nicht auf dem Gerät aus, das Sie auch als zweiten Faktor für die Anmeldung benutzen, etwa indem Sie es zum Scannen eines QR-Codes auf dem Bildschirm verwenden.Meiden Sie Dienste, die Ihnen als zweiten Authentisierungsfaktor eine SMS auf Ihr Smartphone senden. Weichen Sie soweit möglich auf andere Verfahren aus, etwa auf die Anmeldung über einen Smartcard-Reader.Geben Sie niemals Benutzernamen, Passwörter oder übermittelte Codes am Telefon weiter.Verwenden Sie die Anmeldung mit einem biometrischen Merkmal immer nur in Verbindung mit einem zweiten Faktor, wie etwa der Eingabe eines Kennworts.Security