Zugangssicherheit: 2FA, MFA und FIDO2
Das Passwort hat eigentlich ausgedient, weil mit FIDO2 ein phishingresistentes Log-in-Verfahren existiert. Wie das funktioniert und warum das eher eine Lösung für übermorgen als für morgen ist.
Sicherheit und Zugänglichkeit sind bekanntlich konkurrierende Anforderungen: Je sicherer, desto unbequemer. Logisch also, dass viele – wenn nicht die meisten – Benutzer schlampig mit ihren Passwörtern umgehen. Seien es die berühmt-berüchtigten Zettel unter der Tastatur, Trivial-Passwörter à la „12345678“, immerwährend gleiche Phrasen für verschiedene Zugänge oder der Vorname der Tochter. Daran haben bislang auch erzieherische Maßnahmen wie der Welt-Passwort-Tag – jedes Jahr am ersten Donnerstag im Mai – wenig geändert.
Wer nationale Gedenktage mag, der kann am Änderere-dein-Passwort-Tag am 1. Februar alljährlich alle, so wirklich die Aufforderung, Passwörter ändern. Dabei ist das BSI von seinem Rat, man möge Passwörter häufig ändern, bereits 2020 abgerückt. Denn das führe nur zu einfachen und somit unsicheren Passwörtern. Hintergrund: Ist ein Bruce-Force-Angriff auf ein zehn Zeichen langes Passwort aus dem Ziffernraum von 0 bis 9 in 10 Sekunden erledigt, dauert dies bei gleicher Rechenleistung bei einem Zeichenraum von 96 (Klein- und Großbuchstaben, Ziffern, Sonderzeichen) über 2000 Jahre. Dabei ist das „Erraten“ von Passwörtern mittels automatisierten Ausprobierens oder Wörterbüchern nur eine Variante der Kompromittierung von Zugangsdaten. Sie können auch schlicht abgefangen oder via Social Engineering beziehungsweise Phishing ausspioniert werden. Hinzu kommt die Arbeitsbelastung auf der Serviceseite: Anrufe wegen vergessener Credentials, Mechanismen zum Übermitteln neuer Passwörter und so fort.
Langer Rede kurzer Sinn: Allein die Kombination von Accountnamen und Passwort ist weder sicher noch bequem oder effizient. Ein weiteres Kennwort oder Merkmal zu fordern ist zumindest aus der Sicherheitsperspektive betrachtet eine auf der Hand liegende Idee, also eine Zwei- oder Mehr-Faktor-Authentifizierung (2FA/MFA). Zudem sollte dieser zweite Faktor nicht dauerhaft kompromittierbar sein, weil er nur für ein Log-in oder für einen begrenzten Zeitraum gilt.
Wenn es um Geld geht, ist 2FA vorgeschrieben
Das hat auch der deutsche Gesetzgeber erkannt und für den Zahlungsverkehr 2FA-Verfahren vorgeschrieben. Dabei wurden zum Teil offene Türen eingerannt, denn die Übermittlung einer Transaktionsnummer für Zahlungen ist seit Jahren nicht nur gängige Praxis der Kreditinstitute, sondern wurde schon am 14. September 2019 verpflichtend durch die EU-Zahlungsdiensterichtlinie PSD2. Jedenfalls ist seit dem 15. März 2021 2FA für alle Onlinezahlungen, also etwa auch beim Kauf im Webshop, obligatorisch, eine erste Stufe dieser Vorschrift galt schon seit dem 15. Januar 2021. Ob und inwieweit der durch die DSGVO vorgeschriebene Schutz persönlicher Daten durch den Stand der Technik zwingend eine 2FA-Zugangssicherung nach sich ziehen wird, ist derweil noch Zukunftsmusik.
Zur konkreten Ausgestaltung des zweiten Faktors gibt es mehrere Möglichkeiten. Grob unterscheiden lassen sich Besitz eines Gerätes oder Merkmals, das Wissen um ein temporäres Geheimnis sowie Kombinationen davon. Biometrische Merkmale können durch einen Fingerabdruck- oder Iris-Scanner, Gesichts- oder Stimmerkennung verifiziert werden. Die diesen Verfahren inhärenten Risiken für den Anwender (Stichwort: abgeschnittener Finger) werden durch Lebenderkennung zu vermeiden versucht. Beim Faktor Besitz kann es sich um ein dediziertes Gerät handeln, das ein temporäres Passwort generiert. RSA stellte solch ein System unter dem Namen SecurID bereits 1986 vor; mittlerweile existieren zahlreiche Gerätchen, die zeitbasiert oder angestoßen durch zum Beispiel den Scan eines eigens dazu erzeugten QR-Codes ein Einmalpasswort generieren. Inzwischen sind diese Geräte oft durch das Mobiltelefon abgelöst worden, auf dem eine spezielle App läuft. Dass das zweite Merkmal nicht auf demselben Gerät, mit dem man sich einloggen will, erzeugt werden sollte, versteht sich von selbst (und wird auch vom BSI ausdrücklich empfohlen).
Der Vollständigkeit halber sei erwähnt, dass als eine Kombination von Besitz und Wissen auch die Übermittlung des zweiten Passworts über einen separaten Kanal gelten kann, also über eine zweite E-Mail-Adresse oder via SMS. Beides gilt als nicht sehr sicher, denn diese Nachrichten können abgefangen werden. So hat vor einer Übermittlung durch SMS-Nachrichten das für die Sicherheit von US-Behörden zuständige National Institute for Standards and Technology (NIST) bereits 2016 gewarnt. Die weithin bekannt gewordenen 2FA-Hacks betrafen denn auch SMS als zweiten Faktor: 2018 wurde das Portal Reddit durch Abfangen einer SMS gehackt, 2021 die Kryptobörse Coinbase.
Google hat 2019 auf einer Webkonferenz die Ergebnisse einer Langzeitstudie zum Thema Sicherheit von 2FA-Verfahren veröffentlicht. Diese unterschied zwischen automatisierten Bot-Attacken, ungezieltem und gezieltem Phishing sowie zwei Arten von 2FA: geräte- und wissensbasiert. Das Ergebnis der Studie ist eindeutig: Bot-Attacken wurden durch fast alle 2FA-Verfahren vollständig abgewehrt (siehe Abbildung 1). Am schlechtesten schnitt die Übermittlung des zweiten Kennworts via E-Mail ab, aber auch die half schon gegen drei Viertel der Bot-Angriffe. Gegen ungezieltes Phishing lag die Abwehrrate der gerätebasierten Verfahren nahe bei 100 Prozent. Sogar gegen Spear-Phishing, gezielte Angriffe auf einzelne Accounts, erwiesen sich die gerätebasierten Verfahren als signifikant erfolgreicher, mit Abstand am besten schnitten Security-Token ab (siehe dazu auch den Test von vier ausgewählten Token im Artikel „Vier FIDO2-Token für den USB-Port“ ab Seite 50).