dz :: die it-welt kommentiert

Content Delivery, Communication, Messaging und mehr
Posted by on 3 Sep 2014 in Sicherheit

Schutz von Online-Konten: Was sind Multi-Faktor- und Zwei-Schritt-Authentifizierung und wofür benötige ich sie?

Update 13.09.2014

Nachdem nun auch Google-Kontodaten veröffentlicht wurden, Ergänzung der entsprechenden Landing-Page bei Google in der Linkliste.
Und um das noch an den Anfang zu stellen: Das Thema betrifft nicht nur Apple-User, sondern jeden Nutzer von Online-Services seien sie von Apple, Google, Microsoft, Facebook oder anderen mit Namen wie Dropbox, iCloud, OneDrive, Office 365, etc.

Wie der gerade wieder kolportierte “Hack” von Apples iCloud zeigt ist der Zugriffsschutz auf online gespeicherte Daten wichtig. Auch wenn zum aktuellen Vorgang noch keine weiteren Details bekannt sind, so bleibt die sehr große Vermutung, dass es sich nicht um einen echten Hack in Apples Systeme handelt, sondern eher einen Zugang zu den Nutzerdaten mit Hilfe der Kontoinformationen. Dabei scheinen auch Daten abhanden gekommen zu sein, die als gelöscht geglaubt waren, wohl aber in einem wie auch immer gearteten Backup verblieben. Sie dazu auch das Statement von Schauspielerin Mary Elizabeth Winstead, die ebenfalls Opfer des mutmaßlichen Hackerangriffs wurde:

“Ich habe die Fotos vor langer Zeit gelöscht. Das muss ein unheimlicher Aufwand gewesen sein.”

Siehe auch folgende Quellen:

Sicher?

So groß war der Aufwand vermutlich nicht. Nur weil man Daten auf einem Gerät löscht sind sie im Backup noch lange nicht verschwunden. Wenn man dann noch den Zugang zu seinem Online-Konto verliert, sei es durch ein zu leichtes Passwort, welches evtl. auch noch auf mehreren Seiten verwendet wurde, durch zu einfach erratbare Passwortfragen, über die man an das Passwort kommen kann oder einfach nur über eine App, der man zu viele Berechtigungen gegeben hat, ist es leicht um die Daten geschehen. Da helfen einem auch die Sicherheitszusagen der Anbieter wie Verschlüsselung der Daten auf den Servern nichts. Hat man die Zugangsdaten liegen einem die Daten offen, selbst wenn sie auf dem Server und auf dem Weg dahin noch verschlüsselt waren. Der Anwender möchte ja seine Nutzdaten abrufen, nicht irgendwelchen Kauderwelsch. Apple wies in dem Fall auch darauf hin, dass sie von keiner Sicherheitslücke wissen, über die die Angreifer Zugriff erlangt hätten.

Den Schlüssel besitzen

Wie kann man sein Benutzerkonto also besser schützen? Die großen Onlinedienste bieten hierzu schon seit längerer Zeit Lösungen, die im Grundsatz gleich sind. In vielen Firmen und Organisationen ist dieser Zusatzschutz beim Zugriff auf kritische Daten oder von unsicheren Quellen schon seit vielen Jahren Standard. Er basiert darauf, dass man für eine Authentifizierung nicht nur etwas wissen, sondern auch etwas besitzen muss. Kommt das Passwort also abhanden fehlt immer noch der Besitz dieser Eintrittskarte, die wir ab jetzt Token nennen wollen. Das Zusammenspiel auf Passwort nennt man Mehr-Faktor-Authentifizierung.

Wer an dieser Stelle einfach nur wissen will, wie man das mit den Großen der Branche wie Google, Apple, Microsoft, Facebook, Twitter und Co einrichtet springt am Besten gleich auf die nächste Seite.

Wie funktioniert 2FA?

Klassische Lösungen basieren auf zwei Faktoren und darauf, dass man tatsächlich ein zusätzliches Objekt bei sich trägt, z.B. eine SmartCard, die letztlich einen auf einem Chip hinterlegten digitalen Schlüssel enthält, der mit einer PIN geschützt ist, wie wir ihn sie alle in Form von Kreditkarten und anderen Formen der Geldkarten kennen. Somit muss man etwas haben - die Karte - und etwas wissen - die PIN. Die Lösung hat schon einmal den grundlegenden Nachteil, dass sie zwingend ein Lesegerät voraussetzt und wer hat dieses schon privat? Selbst wenn man eines in seinem Laptop hat oder als externes USB-Gerät, etwa für Online-Banking mittels HBCI über eine Chipkarte, ist dies doch alles andere als mobil einsetzbar. Andere Lösungen bauen darauf, dass ich ein Passwort kenne und jetzt nur noch etwas dabei haben muss, das ich vorzeigen kann, wie biometrische Merkmale, also den Fingerabdruck, ein Abdruck der Iris, usw. Hier gilt aber das Gleiche wie oben, wir haben sie dabei, nur eben den Leser nicht. Das dachten sich vor einiger Zeit auch andere schlaue Menschen und dachten über etwas nach, das jeder mit sich herumträgt, einen Schlüsselbund.

Ohne Teuren Plastikkram?

Warum also nicht etwas nehmen, das man leicht mit sich herumtragen kann und dass es einem ermöglicht, sich mit einem mur zu einem bestimmten Zeitpunkt individuell gültigen Code anzumelden, den man nur selbst hat und kennt? Hier kommen Einmal-Passwortlösungen (OTP - One Time Password) etablierter Hersteller wie RSA SecurID oder Vasco Digipass zum Tragen.

http
Source

Diese Tokens funktionieren mobil und man kann sie überall da nutzen, wo der Herausgeber (meist eine Firma) sie eingebunden hat. Woher der Server weiß, dass das auf dem Token autark generierte Passwort für diesen Anwender zu eben diesem Zeitpunkt gültig ist ist die Magie, mit der sich dieser Artikel nicht weiter beschäftigen wird. Jetzt hat die Sache zwei Haken: 1. Die Token kosten ordentlich Geld, 2. Sie sind an ein System gebunden. Möchte ich mich mit Hilfe des Accounts eines Dritten verbinden benötige ich ein weiteres Token, von dessen Herausgabestelle.

Smarte Lösungen sind gefragt

Nun haben im Jahr 2014 viele Menschen ein weiteres Gerät, welches sie wie ihren Schlüsselbund mit sicher herumtragen: ein Mobiltelefon oder Smartphone. Warum erwähne ich beides? Weil nur eine von beiden im Folgenden beschriebenen Varianten für beide gilt, das Prinzip jedoch fast gleich ist. Fangen wir aber zunächst mit der Form an, die nur das Smartphone beherrscht: Der App. Warum nicht die Funktionalität der (Hard-) Tokens, also derer, die ich separat herumschleppen muss, in Form eines Soft-Tokens abbilden? Einfach ein Stück Software auf einem Smartphone, das exakt dieselbe Aufgabe hat wie der Schlüsselbundanhänger, nämlich Einmalpasswörter zu generieren. Solche Apps lassen sich sehr gut mit mehreren Anbietern nutzen, solange diese den gleichen Mechanismus verwenden. In einer App kann ich dann einfach mehrere Konten hinzufügen für die jeweils eigenständig individuelle Einmalpasswörter benutzt werden. Die Großen der Branche haben in RFC4226 einen Algorithmus nebst zu nutzendem Protokoll veröffentlicht, welches dieses ermöglicht, mancher kocht doch sein eigenes Süppchen. Aber, mehrere OTP-Apps auf einem Smartphone ist immer noch besser als mehrere Hard-Tokens am Schlüsselbund, oder?

Hat man kein smartes, sondern nur ein einfaches Mobiltelefon zur Hand kann man sich, wenn der Anbieter dies unterstützt, auch einfach eine SMS schicken lassen. Dies funktioniert, ist aber deutlich unsicher. Als Rettungsanker, wenn beispielsweise das Mobiltelefon mit der Authenticator App verloren oder kaputt geht ist es aber ein valider Notnagel. Es ist aber meist nicht mehr möglich ausschließlich auf SMS zu setzen somit ist dies zweite Variante wohl keine vollwertige Lösung.

Auf der nächsten Seite kommt nun der spannende Teil.

Pages: 1· · 3

Teile diesen Artikel mit Deinen Freunden, Kollegen und Bekannten:

Tags:
This entry was posted by jdz and filed under Sicherheit. Tags: , , , , , , , , , , , , , , , , , , , , , , .

Noch kein Feedback

Einen Kommentar hinterlassen


Click here to log in if you already have an account on this site.

Ihre E-Mail-Adresse wird nicht auf dieser Seite angezeigt.
Wie hilfreich ist dieser Kommentar? / How valuable is this comment?
SchlechtAusgezeichnet
(Set cookies so I don't need to fill out my details next time)
(Erlauben Sie Benutzern, mich über ein Nachrichtenformular zu kontaktieren. Ihre E-Mail wird nicht veröffentlicht!)