Das Passwort ist tot – es leben die Passkeys
Passwörter sind vom Konzept her kaputt, da helfen auch starke Passwörter und klassische Mehr-Faktor-Authentifizierung (MFA) nicht. Stattdessen brauchen wir konzeptionell sichere Authentifizierungsverfahren wie Passkeys.
Das Grundproblem der Authentifizierung lösen Passwörter mit einem Geheimnis, dessen Besitz die Identität beweisen soll: Ich bin „ju“ und nur ich kenne das Geheimnis IM~qaaU0h!N5Z-:(UR~{H;8. Das ist noch nicht das Problem, sondern ein durchaus legitimes Konzept, mit dem sich prinzipiell bereits eine recht hohe Sicherheitsstufe erreichen ließe. Das Problem beginnt an der Stelle, an der ich IM~qaaU0h!N5Z-:(UR~{H;8 einem Dienst als Antwort auf dessen Anfrage „Wie lautet dein Passwort?“ sende, um meine Identität zu beweisen.
Ich überspringe hier absichtlich die Klagen über 123456 und ficken123 als Passwörter, die sich viel zu einfach knacken oder erraten lassen. Denn das lässt sich durch entsprechende Policies, Awareness-Schulungen und den Einsatz von Passwort-Safes noch einigermaßen in den Griff bekommen. Doch auch mein Superpasswort, das ich nirgends anders benutze, ist eigentlich schon in dem Moment kompromittiert, in dem ich es in ein Passworteingabefeld eintippe respektive kopiere und abschicke.
Abgephisht
Denn damit ist das Geheimnis nicht mehr geheim. Letztlich weiß ich nicht, wer da auf der Empfängerseite mein geheimes Passwort bekommt und was der oder die dann damit macht. Phishing ist einer der wichtigsten Angriffsvektoren – und eine Gefahr sowohl für Privatpersonen als auch für Unternehmen. Das zeigen nicht nur Statistiken. Professionelle Penetrationstester erklären mir regelmäßig: „Wenn sonst gar nichts geht – Phishing geht immer.“ Und das gilt vermehrt auch für Zwei-Faktor-Authentifizierung.
Denn was bringt es, wenn ich zwei voneinander unabhängige Identitätsnachweise habe und dann letztlich zwei Zeichenketten an den Phisher schicke? Also beispielsweise mein normales Passwort und den Einmalcode, den ich via SMS oder von einer TOTP-App wie dem Authenticator bekommen habe? So gut wie nichts. Denn der Phisher muss nur schnell genug sein, sich während des Gültigkeitszeitraums mit den abgephishten Credentials beim Server anzumelden – und er ist drin.
Echtzeit-Phishing
Wie leicht das geht, demonstriert das gern für Phishingtests eingesetzte Tool Evilginx2 eindrucksvoll. Es funktioniert ähnlich wie der beliebte HTTP-Cache und Reverse-Proxy nginx. Damit setzen Angreifer mit wenigen Handgriffen eine Phishingseite auf, die dem Original gleicht wie ein Ei dem anderen. Denn alle Inhalte stammen von der echten Seite. Und die gesamte Kommunikation reicht der böse Ginx in Echtzeit in beide Richtungen durch.
Allerdings nicht ganz direkt – zunächst protokolliert er alle Passwörter und auch das nach einer erfolgreichen 2FA ausgetauschte Session-Cookie. Da braucht es je nach dem von der Website eingesetzten Verfahren zum Session-Management etwas Anpassung – aber danach schreibt Evilginx2 dieses wichtige Token mit. Und damit hat der Phisher vollen Zugriff auf den Dienst. Da helfen weder SMS-PIN, TOTP noch Push-Authentication. Solange der Phisher die übertragenen Daten einfach weiterreichen und sich damit erfolgreich am Server anmelden kann, ist er drin.
Somit muss der Angreifer es nur noch schaffen, sein Opfer auf diese Phishingseite zu locken. Und dazu hat er beliebig viele Versuche und kann systematisch alle Mitarbeiter eines Unternehmens durchprobieren. Immer wieder. Irgendwann klickt eine oder einer auf den Link in der auf sie oder ihn zugeschnittenen Mail oder in dem als Waterhole zusammengezimmerten Forum. Natürlich kann man fordern, dass Anwender die URL einer Website prüfen müssen, bevor sie ihre Zugangsdaten eintippen. Aber immer öfter sieht man die URL gar nicht mehr – etwa auf Mobilgeräten oder bei Pop-up-Fenstern. Da hilft letztlich auch kein Awareness-Training, denn schon ein einziges unaufmerksames Opfer genügt. Wie die Pentester sagen: „Phishing geht immer.“