In seinem Artikel erläutert Tomaso Vasella die Grundidee der passwortlosen Authentifizierung. Er erklärt, dass die Mehrfaktoren-Authentifizierung zwar die Sicherheit erhöht, es aber wichtig ist, die Stärke dieser Faktoren im Auge zu behalten. Seit einiger Zeit empfehlen wir, keine SMS-basierten Token (auch mTANs genannt) als zweiten Faktor zu verwenden, da sie für SIM-Swapping-Angriffe anfällig sind, und erwarten, dass das NIST sie von Restricted auf Deprecated setzt. Stattdessen werden zeitbasierte Einmal-Passwörter (TOTPs) oder U2F-Hardware-Tokens (Universal Two-Factor) empfohlen.

Wie der Name schon sagt, können Einmal-Passwörter nur einmal verwendet werden, wodurch einige der Schwächen herkömmlicher Passwörter gemildert werden. Allerdings bringen sie auch einige zusätzliche Herausforderungen mit sich. In den meisten Fällen werden sie nicht allein verwendet, sondern als zweiter Faktor für ein herkömmliches Passwort oder als Mittel zur Authentifizierung von Transaktionen. Bei diesen Verfahren können OTPs vorab generiert, dem Benutzer out-of-band (z. B. per SMS) übermittelt oder aus einem Geheimnis abgeleitet werden. Alle diese Methoden haben ihre eigenen Vor- und Nachteile, und in der Praxis wird entweder die Out-of-Band-Übertragung oder die abgeleitete Version von OTPs verwendet, da sich die Speicherung einer Liste von vorgenerierten OTPs als zu umständlich und fehleranfällig für die Endnutzer erwiesen hat.

Bei der Out-of-Band-Zustellung registriert der Benutzer eine Kontaktmöglichkeit, z.B. eine Telefonnummer, und die authentifizierende Partei sendet das OTP über diesen zweiten Kanal. Dies hängt von der Sicherheit des Telefonnetzes und des Endgeräts des Benutzers ab, aber in diesem Fall ist es eine sichere Methode zur Verwendung von OTPs. Das eigentliche Passwort kann dann nach dem Zufallsprinzip generiert werden und muss sich nicht auf gemeinsame Informationen stützen, da das OTP selbst die gemeinsame Information ist. Bei der Transaktionsauthentifizierung kann diese gemeinsam genutzte Information auch Details der zu validierenden Transaktion enthalten, was eine Überprüfung gegen versteckte Manipulationen der Transaktion ermöglicht. Bei der Übermittlung per SMS wird dies auch als mTAN oder mobile Transaktionsauthentifizierungsnummer bezeichnet, obwohl die TANs auch alphanumerisch sein können. Einige Banken sind dazu übergegangen, eine App zu verwenden und die TAN über Push-Benachrichtigungen zu übermitteln, was das Verfahren stärkt, aber dazu kommen wir etwas später.

Bei abgeleiteten Passwörtern ist die zeitbasierte Ableitung die heute am häufigsten verwendete Variante. TOTPs sind Passwörter mit einer Länge von 6-10 (wobei 6 die Standardeinstellung und die häufigste ist), die durch Hashing eines geheimen Schlüssels und eines zeitbasierten Zählers in 30-Sekunden-Intervallen erzeugt werden. Das Geheimnis ist sowohl dem Server als auch dem Benutzer bekannt (oder zumindest dem Gerät, das der Benutzer zur Generierung von OTPs verwendet) und muss vor Angreifern geschützt werden. Da die OTPs nur 6 Ziffern lang sind, sind sie nicht schwer zu knacken, obwohl dies in der Praxis leicht durch eine Ratenbegrenzung oder eine Begrenzung der Anzahl der möglichen Versuche abgemildert werden kann. Da der Algorithmus nicht sehr komplex ist, kann er in kleinen Hardware-Tokens implementiert werden, in denen das Geheimnis bereits gespeichert ist. Eine andere gängige Methode zur Weitergabe des Geheimnisses besteht darin, es als QR-Code anzuzeigen, der dann von einer Smartphone-App gescannt wird, die dann als Generator fungiert.

Welche Angriffe gibt es?

So weit, so gut. Leider ist die SMS-Zustellung von OTPs, so angenehm sie für den Benutzer auch ist, unter Beschuss geraten und wird von NIST als Restricted eingestuft. Ein eingeschränkter Authentifikator sollte nur unter Berücksichtigung aller Risiken verwendet werden, und es muss ein zweiter, nicht eingeschränkter Authentifikator bereitgestellt werden, wenn man die NIST-Richtlinien korrekt befolgen will.

Insbesondere für die SMS-basierte Zustellung von TANs wurden mehrere Möglichkeiten gefunden, die Authentifizierung anzugreifen. Eine Schwachstelle im System für den SMS-Versand wurde 2017 in Deutschland erfolgreich genutzt, um SMS abzufangen und Transaktionen umzuleiten, nachdem die Schwachstelle bereits 2014 entdeckt worden war. Auch SIM-Swapping-Angriffe wurden wiederholt in freier Wildbahn beobachtet. In diesen Fällen überzeugte der Angreifer den Dienstanbieter, eine neue SIM-Karte für eine bestimmte Telefonnummer zu erstellen, und nutzte das Zeitfenster zwischen der Erstellung der neuen SIM-Karte und der Feststellung, dass diese nicht vom Nutzer autorisiert war, um SMS abzufangen und das OTP zu umgehen. In letzter Zeit gab es immer ausgefeiltere Versuche, solche OTPs zu umgehen, von Malware, die sowohl den PC als auch das Smartphone infiziert und die Daten stiehlt, während sie vom Benutzer empfangen werden, bis hin zu Social-Engineering-Angriffen. Kürzlich berichtete KrebsOnSecurity über Dienste, die den Social-Engineering-Aspekt automatisieren und vorgeben, eine legitime Quelle zu sein, die nach einem OTP fragt und den Benutzer dazu bringt, es einem Angreifer preiszugeben.

Während für TOTPs und Push-basierte TANs das Abfangen von SMS nicht relevant ist, kann Malware auf dem Smartphone möglicherweise erstere und wahrscheinlich auch letztere abfangen, und durch Social Engineering können Nutzer immer noch dazu gebracht werden, sie bereitzustellen. TOTPs sind etwas widerstandsfähiger gegen Social Engineering, da sie innerhalb eines kurzen Zeitraums genutzt werden müssen, aber das ist für einen vorbereiteten Angreifer kein Problem.

Ausserdem erfüllt keine der verschiedenen Arten der Verwendung von Einmal-Passwörtern technisch gesehen die Anforderung, ein eigenständiger Faktor zu sein: Sie sind alle nur ein zweiter “Wissen”-Faktor, ein zweites Passwort, wie der Name schon sagt. Die Übermittlung von TANs durch Push-Benachrichtigungen kommt dem zwar nahe, ist aber dennoch unzureichend – sie geht zwar an ein registriertes Gerät, aber letztlich ist die TAN immer noch das, worauf es ankommt, und sie ist “etwas, das man wissen muss” und kann bei einem Social Engineering-Angriff weitergegeben werden.

WebAuthn und die passwortlose Zukunft

Das bringt uns zu FIDO2 und allgemein zur passwortlosen Authentifizierung. FIDO2 wurde unter anderem entwickelt, um einen echten zweiten Faktor zu bieten, der nicht nur ein zweites “Ding, das der Benutzer weiss” ist und der nicht abgefangen und sozial manipuliert werden kann wie ein OTP. Dies wird erreicht, indem der Authentifikator – in der Regel ein USB-Schlüssel oder ein Smartphone – kryptografisch an die Identität und an die Website gebunden wird. Es gibt kein OTP mehr, das auf einer ähnlichen Domäne eingegeben werden kann: Wenn die Domäne nicht korrekt ist, erkennt der Authentifikator sie nicht und liefert keine Informationen. Ebenso gibt es keinen Code, den man per Telefon weitergeben kann, denn FIDO-Authentifikatoren müssen sich physisch in der Nähe des für die Anmeldung verwendeten Computers befinden, entweder über USB-, NFC- oder Bluetooth-Verbindungen. Auf diese Weise ist ein FIDO2-Authentifikator wirklich etwas, das der Benutzer hat, und nicht etwas, das der Benutzer kennt.

Universal Second Factor (U2F) und WebAuthn sind ebenfalls Begriffe, die in diesem Zusammenhang häufig auftauchen. Sie sind Bestandteile von FIDO, wobei U2F einen Standard für die Bereitstellung eines zweiten Faktors spezifiziert und WebAuthn die Javascript-API ist, die verwendet werden soll, um von FIDO2 zu profitieren. Sie können verwendet werden, um eine sichere passwortlose Authentifizierung oder eine Multifaktor-Authentifizierung zu ermöglichen, aber so oder so bringen sie die Sicherheit auf ein höheres Niveau, als es herkömmliche Passwörter oder Einmal-Passwörter erreichen können.

Das grösste Problem bei diesem Ansatz ist der Verlust des Authentifikators. Eigentlich ist vorgesehen, dass man meherere Authentifikatoren registrieren kann, damit der Verlust eines davon nicht kritisch ist. In der Praxis sieht man leider häufig, dass nur ein einzelner Authentifikator zugelassen wird, sodass eine komplette Neuverifikation des Nutzers nötig ist – oder ein Recovery-Verfahren angewendet wird, dass dann die Sicherheit unterminiert.

Fazit

Auch wenn es noch lange nicht die vorherrschende Authentisierungsmethode werden wird, ist die passwortlose Authentisierung für besonders schützenswerte Applikationen bereits jetzt eine gangbare Methode und insbesondere eine die zukünftig wann immer möglich bereitgestellt werden sollte. Letztendlich wird die passwortlose Authentisierung bequemer und sicherer sein und sollte allein deshalb ermöglicht werden.

Über den Autor

Mark Zeman hat seinen Master of Science in Engineering mit Vertiefung Information and Communication Technologies an der Fachhochschule Nordwestschweiz absolviert. Seit 2017 hat er seine Passion im Bereich Information Security zu seinem Fokus gemacht. Unter anderem hat er schon während seinem Bachelorstudium bei einer Email-Sicherheitsfirma gearbeitet. (ORCID 0000-0003-0085-2097)

Links

• https://krebsonsecurity.com/2021/09/the-rise-of-one-time-password-interception-bots/
• https://pages.nist.gov/800-63-3/sp800-63b.html