ADMIN

2022

10

2022-09-29T12:00:00

Datensicherheit

SCHWERPUNKT

066

Datensicherheit

Sicherheit

Multifaktor-Authentifizierung im praktischen Einsatz

Schlüsselfrage

von Dr. Christian Knermann

Veröffentlicht in Ausgabe 10/2022 - SCHWERPUNKT

Ein Passwort allein bietet einem Benutzerkonto heutzutage keinen ausreichenden Schutz mehr, sei es auch noch so komplex. Mit der klassischen SMS, Push-Nachrichten, TOTP, U2F und FIDO2 treten mehrere Verfahren der Multifaktor-Authentifizierung an, Passwörter zu ergänzen oder gleich ganz zu ersetzen. IT-Administrator hilft bei der Orientierung und beim praktischen Einsatz.

Cyberangriffe auf Unternehmen, Lieferketten oder gar ganze Staaten prägen zunehmend die öffentliche Berichterstattung und mahnen IT-Verantwortliche, an ihrer Abwehr zu arbeiten. Neben fortgeschrittenen Firewalls und Antimalware-Produkten sollten diese vor allem die Benutzerkonten im Auge behalten, denn kompromittierte Konten mit Zugriff auf interne Kommunikation in Form von E-Mails oder Chats bilden oft den ersten Baustein eines erfolgreichen Angriffs.
Passwörter: Je komplexer, desto besser
Beginnen Sie daher im ersten Schritt damit, Ihre Anwender für die Verwendung sicherer Passwörter zu sensibilisieren. Komplexität und Länge sind hier Trumpf. So rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei kurzen Passwörtern mit lediglich acht bis zwölf Zeichen Länge zu einer möglichst hohen Komplexität. Diese erreichen Sie, indem Sie typischerweise vier Zeichenarten verwenden – eine Mischung aus großen und kleinen Buchstaben, Zahlen sowie Sonderzeichen.
Je länger das Passwort, desto geringer fallen die Anforderungen an die Komplexität aus. Entscheiden Sie sich für ein Passwort mit 20 bis 25 Zeichen, sind laut Empfehlung des BSI etwa nur noch zwei der vier genannten Anforderungen an die Komplexität zu erfüllen, denn mit der Länge steigt der Rechenaufwand exponentiell, um aus einem erbeuteten Hash­wert zurück auf das ursprüngliche Passwort zu schließen. Bereits ab 15 bis 20 Zeichen kann die heute erhältliche Technik diese Aufgabe nicht mehr in endlicher Zeit lösen.
Cyberangriffe auf Unternehmen, Lieferketten oder gar ganze Staaten prägen zunehmend die öffentliche Berichterstattung und mahnen IT-Verantwortliche, an ihrer Abwehr zu arbeiten. Neben fortgeschrittenen Firewalls und Antimalware-Produkten sollten diese vor allem die Benutzerkonten im Auge behalten, denn kompromittierte Konten mit Zugriff auf interne Kommunikation in Form von E-Mails oder Chats bilden oft den ersten Baustein eines erfolgreichen Angriffs.
Passwörter: Je komplexer, desto besser
Beginnen Sie daher im ersten Schritt damit, Ihre Anwender für die Verwendung sicherer Passwörter zu sensibilisieren. Komplexität und Länge sind hier Trumpf. So rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei kurzen Passwörtern mit lediglich acht bis zwölf Zeichen Länge zu einer möglichst hohen Komplexität. Diese erreichen Sie, indem Sie typischerweise vier Zeichenarten verwenden – eine Mischung aus großen und kleinen Buchstaben, Zahlen sowie Sonderzeichen.
Je länger das Passwort, desto geringer fallen die Anforderungen an die Komplexität aus. Entscheiden Sie sich für ein Passwort mit 20 bis 25 Zeichen, sind laut Empfehlung des BSI etwa nur noch zwei der vier genannten Anforderungen an die Komplexität zu erfüllen, denn mit der Länge steigt der Rechenaufwand exponentiell, um aus einem erbeuteten Hash­wert zurück auf das ursprüngliche Passwort zu schließen. Bereits ab 15 bis 20 Zeichen kann die heute erhältliche Technik diese Aufgabe nicht mehr in endlicher Zeit lösen.
Länge allein hilft allerdings nicht, falls ein Passwort im Wörterbuch steht oder sich in einer Datenbank bereits kompromittierter Passwörter wiederfindet. Ein gewisser Grad an Komplexität ist also auch bei langen Phrasen angeraten. Das BSI erklärt auf verständliche Weise die Hintergründe und gibt Tipps dazu, was ein sicheres Passwort ausmacht [1]. Weiterhin geben die Experten Empfehlungen zum Einsatz eines Passwort-Managers. Eine solche Software erleichtert es ungemein, für jeden Dienst ein separates Passwort zu verwenden.
Passwort-Manager einsetzen
Diverse Betriebssysteme und Browser bringen bereits von Haus aus integrierte Passwort-Manager mit, die gespeicherte Zugangsdaten in der Regel über die Cloud des jeweiligen Herstellers synchronisieren. So sind die Logindaten auch auf mehreren Computern und mobilen Begleitern verfügbar, doch das setzt Vertrauen in den Hersteller voraus und beschränkt die Verwendung auf dessen Ökosystem.
Ein separater Passwort-Manager arbeitet im besten Fall herstellerunabhängig und plattformübergreifend. Das trifft etwa auf die frei verfügbare und quelloffene Software KeePass zu. Mehrere weitere Projekte haben sich um KeePass herum entwickelt und die ursprüngliche Win­dows-Anwendung auch auf andere Betriebssysteme portiert sowie um Plug-ins erweitert [2].
KeePass hilft Ihnen mit einem automatischen Generator für komplexe Passwörter, verwendet dazu allerdings grundsätzlich eine dateibasierte Datenbank, die Sie mit einem Master-Passwort oder einer Schlüsseldatei schützen. Um die Synchronisation dieser Datei zwischen mehreren Geräten sowie mehreren Benutzern im Team müssen Sie sich selbst kümmern. Der Ansatz eignet sich somit nur für kleinere Teams und eine überschaubare Anzahl an Endgeräten. Weiterhin besteht die Gefahr, dass ein Nutzer mit dem Generalschlüssel zu seiner persönlichen KeePass-Datenbank auch gleich den Zugriff auf alle seine darin gespeicherten Konten verliert.
Für größere Einsatzszenarien finden Sie am Markt zahlreiche kommerzielle Dienste, die Datenbanken und Webservices zur zentralen Speicherung und Synchronisation von Zugangsdaten verwenden – entweder in der Cloud des Herstellers oder selbst gehostet und mit der Möglichkeit für Admins, Endanwendern beim Zugriff auf ihre Logindaten zu helfen.
Bild 1: Microsoft weist ausdrücklich auf den hauseigenen Authenticator hin. Der unscheinbare Link darunter konfiguriert anderweitige TOTP-Apps.
Passwort-Safe kein Allheilmittel
Das grundsätzliche Problem von Passwörtern kann jedoch auch der beste Passwort-Manager nicht lösen. Sollte es einem böswilligen Dritten gelingen, per Phishing oder Keylogging die Zugangsdaten zu erbeuten, ist der jeweilige Account kompromittiert. Das Ausmaß dieser Bedrohung wird umso größer, je mehr Anwendungen und Dienste in die Cloud wandern, also die bislang als sicher eingestuften internen Unternehmensnetze verlassen und frei im Internet erreichbar sind. Zero Trust ist hier das neue Paradigma und damit gelangen wir zum Kern dieses Artikels, der Multifaktor-Authentifizierung, die je nach abzusicherndem Dienst unterschiedliche Ausprägungen annehmen kann.
Bild 2: Browser-Erweiterung und KeePass-Plug-in generieren TOTP-Codes direkt auf den Desktop.
Wissen, besitzen, sein
Ganz allgemein definiert das National Institute of Standards and Technology (NIST) die drei möglichen Faktoren als "something you know", "something you have" und "something you are". Ersteres meint das Wissen geheimer Informationen, also die klassische Kombination aus Benutzernamen und Passwort. Der zweite Faktor ist der Besitz eines Smartphones, eines physischen oder virtuellen Tokens oder einer speziellen kryptografischen Hardware, wie einer Smartcard. Alternativ bringen heutzutage die meisten Computer und mobilen Begleiter passende Krypto-Chips in Form von Trusted Platform Modules (TPM) oder verwandten Techniken bereits ab Werk mit.
Die dritte Option nach der Definition des NIST bezeichnet biometrische Eigenschaften, wie Fingerabdruck-, Gesicht- oder Iris-Scan. Im Folgenden widmen wir uns vor allem dem Besitz eines zweiten Faktors. Den kombinieren aktuelle Systeme, wie Touch- und Face-ID von Apple oder Microsofts Windows Hello mit Biometrie, indem sie sicher im Gerät gespeicherte Informationen nur nach zusätzlicher Authentifizierung mittels bio­metrischer Merkmale freigeben.
Von der SMS zu Push
Nutzer von Online-Banking sind seit jeher mit MFA vertraut. Kam der zweite Faktor in den Anfangstagen in Form von gedruckten TAN-Listen per Post nach Hause, löste der Versand des TAN-Codes per klassischer SMS bald darauf das Papier ab. Praktisch daran ist, dass sich der Besitz in diesem Fall auf eine SIM-Karte beschränkt, die abgesehen vom Formfaktor in jedem Mobiltelefon funktioniert. Doch im Hinblick auf die Informationssicherheit ist neben fehlender Verschlüsselung einer der Schwachpunkte dieses Verfahrens, dass es eben nicht an ein bestimmtes Endgerät gebunden ist.
Mithilfe der SIM-Karten-Swap genannten Betrugsmasche könnte sich ein Angreifer eine Ersatz-SIM-Karte seines Opfers verschaffen. Sobald der Angreifer die SIM-Karte erhalten hat, kann er im Namen des rechtmäßigen Besitzers SMS empfangen und so die Zugänge zu dessen Online-Diensten kapern – umso einfacher im Falle einer eSIM-Karte, da hier die Notwendigkeit des Postversands entfällt. Zwar haben zahlreiche Mobilfunkprovider daher ihre Sicherheitsmaßnahmen verschärft, doch sollten Sie möglichst alternative MFA-Methoden einsetzen, soweit Clouddienste diese anbieten.
Viele Bankhäuser haben den Versand von TANs per SMS inzwischen durch proprietäre Push-Verfahren ersetzt, bei denen eine spezifische App der jeweiligen Bank Aufträge per Schaltfläche freigibt oder einen sechsstelligen Code zur Eingabe im Webinterface des Online-Banking-Zugangs generiert. Der Besitz ist in diesem Fall an ein konkretes Smartphone oder Tablet gekoppelt, da Nutzer ein neues Gerät erst registrieren müssen. Private Nutzer kennen Push-Benachrichtigungen etwa auch von eBay oder Google. Das Online-Auktionshaus nutzt bei einer Anmeldung im Browser seine eigene Mobil-App als zweiten Faktor. Google schickt Push-Nachrichten an seine YouTube-App oder nutzt alternativ den hauseigenen Google Authenticator als Generator für Time-based One-Time-Passwords (TOTP), auf die wir gleich zurückkommen werden.
Sollte der zweite Faktor in Form einer App temporär oder dauerhaft nicht mehr zur Verfügung stehen, setzen beide Firmen, wie auch viele andere Anbieter von Onlinediensten, auf den Versand von einmalig gültigen Codes per E-Mail oder SMS – zwei Wege mit fehlender Verschlüsselung und weiterer Angriffsfläche, die im geschäftlichen Umfeld möglichst nicht zum Einsatz kommen sollten.
Bild 3: Das Konfigurationswerkzeug des Molto-2 Hardware-Tokens liest QR-Code vom Bildschirm.
Komfort versus Sicherheit
Ihren Microsoft Authenticator bieten die Redmonder in den App-Stores sowohl für Apple iOS und iPadOS als auch für Google Android an. In Verbindung mit Microsofts Diensten setzt auch dieser Authenticator auf ein proprietäres Verfahren, das Push-Benachrichtigungen auf die mobilen Endgeräte schickt. Benutzer tippen nach Eingabe von Benutzernamen und Passwort einfach auf "Genehmigen" oder "Verweigern". Dies funktioniert für private Nutzer und geschäftliche Anwendungsfälle gleichermaßen. So können Sie Endanwendern für sämtliche Onlinedienste, die gegen Azure AD authentifizieren, eine komfortable MFA-Anmeldung bieten. Dies gilt sowohl für die SaaS-Dienste von Microsoft 365 (ehemals Office 365) als auch für die IaaS- und PaaS-Angebote in der Azure-Cloud.
Security-Experten sind von proprietären Verfahren mittels Push-Nachricht weniger begeistert – zum einen, da nicht-standardisierte Methoden im Hinblick auf ihre Sicherheit kaum zu überprüfen sind, und zum anderen, da bei Push-Benachrichtigungen die Gefahr eines Gewöhnungseffektes besteht. Haben Endanwender den reflexartigen Tipp auf "Genehmigen" verinnerlicht, bestätigen Sie eventuell auch eine Anmeldung, die sie gar nicht veranlasst haben. Gezieltes Eingeben eines Codes verringert den Komfort, erhöht jedoch die Aufmerksamkeit. Hier gilt es, Komfort und gewünschtes Schutzniveau gegeneinander abzuwägen, und auch ein proprietäres MFA-Verfahren ist definitiv besser als keines.
Der Komfort einer herstellerspezifischen MFA-Methode verkehrt sich spätestens dann ins Gegenteil, wenn Sie auf mehr als einen Cloudanbieter setzen. Eine föderierte Anmeldung aller Clouddienste gegen einen einzigen Identity Provider ist hier die hohe Kunst, jedoch leider nicht mit allen Anbietern realisierbar. In einem solchen Fall wäre es Endanwendern schwer zu vermitteln, dass die MFA etwa für Microsofts Ökosystem anders funktioniert als für Amazon Web Services, Google Cloud oder weitere Cloudprovider. In Multicloud-Umgebungen leisten standardisierte MFA-Verfahren folglich einen Beitrag zu Sicherheit und Bedienbarkeit.
TOTP als etablierter Standard
Einen solchen Standard bilden die bereits erwähnten Time-based One-Time-Passwords, deren Algorithmus die Internet Engineering Task Force (IETF) im Request for Comments (RFC) 6238 beschreibt [4]. Ein Dienst, der diesen Standard implementiert, erzeugt pro Benutzer einen individuellen geheimen Schlüssel in Form einer Zeichenkette, die die Nutzer jeweils manuell in einer kompatiblen Authenticator-App eintragen oder – noch simpler – per QR-Code einlesen.
Zwecks Redundanz können Sie den geheimen Schlüssel auf mehreren Endgeräten hinterlegen, doch Obacht: Der geheime Schlüssel darf nicht in fremde Hände geraten. Zudem generieren viele Dienste eine Liste von Backup-Codes für den Fall, dass keines der TOTP-Geräte mehr zur Verfügung steht. Verwahren Sie diese ebenso wie den geheimen Schlüssel an einer sicheren Stelle.
Der Authenticator generiert daraufhin alle 30 Sekunden ein neues Einmalkennwort, das nur für diesem Zeitraum oder je nach Implementierung für eine kurze Zeit davor und danach gültig ist. Voraussetzung für eine erfolgreiche Anmeldung ist somit, dass die Uhren des authentifizierenden Dienstes und des Gerätes, das den Authenticator ausführt, hinreichend genau konfiguriert sind, vorzugsweise per Network Time Protocol (NTP).
Möchten Sie TOTP im Unternehmen einsetzen, erweist sich wiederum als Vorteil, dass viele Endanwender deren Handhabung bereits aus ihrem privaten Umfeld kennen. Unter anderem Amazon, PayPal und Twitter setzen auf TOTP als zweiten Faktor. Weiterhin dürfen Sie aus einem reichhaltigen Angebot kompatibler Apps wählen. Neben Microsoft Authenticator und Google Authenticator implementieren zahlreiche alternative Apps den TOTP-Standard, darunter auch Open-Source-Projekte, wie FreeOTP und andOTP. Im einfachsten Fall können Endanwender ihre bereits gewohnte Lieblings-App weiterverwenden.
Fallstricke vermeiden
Die Lernkurve beschränkt sich in der Praxis dann auf die Konfiguration des MFA-Verfahrens in den gewünschten Clouddiensten. Hier machen es die jeweiligen Provider den Nutzern jedoch nicht leicht, da jeder Anbieter die Einrichtung an anderer Stelle versteckt und noch dazu unterschiedlich benennt. Somit bleibt Ihnen nur, die Endanwender an die Hand zu nehmen und mit internen Schulungen oder Knowledge-Base-Artikeln für MFA und deren Konfiguration zu sensibilisieren.
So preisen viele Dienste pauschal den Google Authenticator an, obwohl sie tatsächlich TOTP implementieren und somit jede App nach diesem Standard funktioniert. Umgekehrt beherrschen etwa die Clouddienste von Microsoft grundsätzlich TOTP, doch der Hersteller versucht, den Nutzern das proprietäre Push-Verfahren über den hauseigenen Authenticator schmackhaft zu machen.
Fügen Sie in den Eigenschaften eines Microsoft-Kontos eine Anmeldemethode hinzu, bietet Microsoft im ersten Schritt die Option "Authenticator-App" zur Auswahl an [5]. Der folgende Dialog bezieht sich allerdings primär auf den Microsoft Authenticator. Klicken Sie hier auf "Weiter", erhalten Sie einen QR-Code, der ausschließlich zur Konfiguration der Push-Benachrichtigungen in Microsofts App taugt. Nur der weniger prominent platzierte Link "Ich möchte eine andere Authentifikator-App verwenden" darunter produziert einen generischen QR-Code, den Google Authenticator und andere Apps nach TOTP-Standard verstehen.
TOTP im Browser
Auch im Fall von TOTP manifestiert sich der zweite Faktor im Besitz eines mobilen Endgeräts mit einer passend konfigurierten App darauf. Doch welche Möglichkeiten bieten sich, wenn Anwender weder dienstliche noch private Smartphones einsetzen wollen oder dürfen? Alternativ erzeugen Sie TOTP-Codes direkt auf dem Desktop. So integriert etwa die Browser-Erweiterung mit dem schlichten Namen "Authenticator" die Erzeugung direkt in die Browser Chrome, Edge und Firefox [6]. Die Erweiterung liest geheime Schlüssel per QR-Codes von Webseiten oder per manueller Eingabe ein, generiert anschließend die passenden TOTP-Codes und fügt sie über die Zwischenablage in Anmeldemasken ein.
Beim Verlust des Benutzerprofils sind potenziell alle hinterlegten MFA-Verfahren verloren. Dem beugen Sie wahlweise über ein dateibasiertes Backup, per automatischer Sicherung in Google Drive, OneDrive oder Dropbox vor – oder, indem Sie die Erweiterung und ihre Einstellungen der Cloudsynchronisation des jeweiligen Browser-Herstellers anvertrauen. Hier gilt es wiederum, Komfort und Sicherheit abzuwägen, da es Angreifern gegenüber einem separaten physischen Gerät potenziell leichter fällt, sich des zweiten Faktors zu bemächtigen.
KeePass um TOTP erweitern
Ein etwas höheres Schutzniveau bietet die bereits erwähnte Applikation KeePass, die nicht nur Kombinationen von Benutzernamen und Passwörtern sicher verwahrt, sondern, ein passendes Plug-in vorausgesetzt, auch mit TOTP umzugehen weiß. Auf der Plug-in-Seite des KeePass-Projekts haben Sie mit KeePassOTP, KeeTrayTOTP und KeeOtp2 die Qual der Wahl zwischen gleich drei TOTP-Implementierungen, von denen uns KeeOtp2 im praktischen Einsatz am überzeugendsten erscheint [7].
Kopieren Sie die PLGX-Datei ins Plug-in-Verzeichnis Ihrer KeePass-Installation und starten Sie die Anwendung neu. Anschließend finden Sie im Kontextmenü eines jeden Eintrags in Ihrer Passwortdatenbank den zusätzlichen Punkt "KeeOtp2" mit den Unterpunkten "Copy TOTP", "Show TOTP" und "Configure TOTP". Letzterer öffnet einen Dialog, in den Sie den geheimen Schlüssel manuell eintragen oder mittels "Scan QR Code" danach suchen. KeeOtp2 grast dann sämtliche Fenster auf dem primären Bildschirm nach einem passenden QR-Code ab. Das Fenster mit dem QR-Code darf sich dabei auch im Hintergrund befinden. Anschließend befördern Sie den aktuellen TOTP-Code per "Copy TOTP" in die Zwischenablage oder zeigen ihn mittels "Show TOTP" an. In diesem Fall sichert das nötige Wissen um das Master-Passwort den Besitz der KeePass-Datenbank zusätzlich ab.
Bild 4: Verschiedene zweite Faktoren stellen sich zur Wahl: Smartphone-App, TOTP-Generatoren, FIDO2-Keys.
TOTP mit dedizierter Hardware
Ein deutlich höheres Schutzniveau, auch gegenüber einer Smartphone-App, erreichen Sie durch den Einsatz dedizierter und autarker TOTP-Geräte, die wir ohne Anspruch auf vollständige Marktrecherche exemplarisch in zwei Varianten ausprobiert haben.
Beim Hardware-Token Molto-2 des Schweizer Herstellers Token2 handelt es sich um einen einfachen TOTP-Generator, der bis zu 100 verschiedene MFA-Verfahren speichert [8]. Zur Konfiguration verbinden Sie das Gerät per USB mit einem Win­dows-System und führen das Molto-2 USB Config Tool aus. Das synchronisiert den internen Zeitgeber des Tokens. Es liest ähnlich dem KeePass-Plug-in QR-Codes vom Bildschirm oder nimmt den geheimen Schlüssel als String entgegen, dürfte mit den zahlreichen Optionen seiner Oberfläche weniger IT-affine Benutzer allerdings verwirren (Bild 3). Daraufhin versehen Sie den Eintrag mit einem eindeutigen Namen und schreiben ihn in einen der 100 Profil-Speicherplätze des Geräts.
Das Gerät zeigt die TOTP-Codes der konfigurierten MFA-Verfahren auf seinem eingebauten LCD als Zahl sowie als QR-Code an. Mit Pfeiltasten blättern Sie durch die verschiedenen Profile. Per USB verbunden, gibt sich das Gerät zudem als Tastatur zu erkennen. Als Alternative zum Abtippen übertragen Sie den TOTP-Code einfach auf Knopfdruck an den Rechner. Die USB-Verbindung lädt weiterhin auch den fest verbauten internen Akku des Tokens.
Als komfortabel, jedoch wenig sicher erweist sich, dass der Molto-2 ohne Weiteres die TOTP-Codes für alle hinterlegten Konten anzeigt. Für höhere Anforderungen an die Sicherheit hat der Hersteller mit dem Molto-1-i einen Hardware-Token im Portfolio, der lokal zusätzlich eine PIN-Sperre bietet und zur Konfiguration nicht auf USB, sondern auf eine drahtlose Verbindung per NFC setzt. Dieser Token ist allerdings auf lediglich zehn Profile beschränkt.
Alternativ vereint der Reiner SCT Authenticator des gleichnamigen deutschen Herstellers komfortable Konfiguration mit hoher Sicherheit für bis zu 60 Konten. Das Gerät speist sich aus drei wechselbaren Batterien vom Typ AAA. Auch dieser Token sichert den Zugriff auf Wunsch lokal über eine PIN ab. Zur Konfiguration der TOTP-Konten benötigen Sie keine separate App. Der Token bringt eine integrierte CMOS-Farbkamera mit und liest QR-Codes direkt vom Bildschirm ein. Die Kamera dient weiterhin zur Synchronisation des Zeitgebers mittels eines verschlüsselten QR-Codes, den der Hersteller auf seiner Webseite anbietet.
Unabhängig davon, wie Anwender ihre TOTP-Codes generieren, kann dieser zweite Faktor Angriffe per Phishing nur erschweren, jedoch nicht verhindern. Gelingt es Angreifern, die Benutzer auf eine täuschend echte Kopie einer Anmeldeseite zu locken, könnten sie innerhalb des kurzen Zeitfensters von 30 Sekunden Benutzername, Passwort sowie TOTP abgreifen, um sich damit im Namen des betroffenen Nutzers anzumelden. Dem möchte die FIDO-Allianz (Fast IDendity Online) einen Riegel vorschieben und ein MFA-Verfahren etablieren, das sowohl komfortabel als auch immun gegen Phishing ist.
Der Weg von U2F zu FIDO2
Ihren ersten Standard, vielfach auch als Universal Second Factor (U2F) bezeichnet, hatte die FIDO-Allianz bereits 2014 vorgestellt und inzwischen durch den neueren Standard FIDO2 abgelöst. Während U2F nur als zweiter Faktor taugte, soll FIDO2 so sicher sein, dass Passwörter komplett obsolet werden. Mit Apple, Google und Microsoft haben sich gleich drei prominente Mitglieder der Allianz dazu bekannt, Passwörter mittelfristig abschaffen zu wollen.
Achten Sie bei der Beschaffung von Hardware-Token folglich darauf, dass diese FIDO2 unterstützen; sie sind damit automatisch abwärtskompatibel zu U2F. Inzwischen ist eine breite Palette kompatibler Hardware-Token verfügbar, meist in Form von Sticks mit USB-A- oder USB-C-Stecker, auch für Apples Lightning-Anschluss finden sich Lösungen. Alternativ kommunizieren einige Token drahtlos per Bluetooth oder NFC und bieten zusätzliche Sicherheitsmerkmale, wie einen Zugriffsschutz per Fingerabdruck-Sensor oder PIN [10].
In diesem Segment hat etwa der Hersteller Yubico mit seiner YubiKey-Produktfamilie Bekanntheit erlangt. Wir haben exemplarisch die für den Unternehmenseinsatz konzipierten Modelle YubiKey 5C NFC sowie YubiKey 5Ci ausprobiert. Der erste wartet mit USB-C und NFC auf, der zweite sucht Anschluss per USB-C und Lightning.
Darüber hinaus bieten zahlreiche weitere Hersteller passende Produkte an, darunter auch komplette Open-Source-Entwicklungen, wie die Token von SoloKeys oder Nitrokey. Während U2F ausschließlich auf Hardware-Token setzte, funktioniert FIDO2 grundsätzlich auch ohne. Aktuelle Versionen von Apple macOS, iOS, Android sowie Windows 10 und 11 in Verbindung mit den Krypto-Chips der jeweiligen Endgeräte unterstützen FIDO2 von Haus aus.
Link-Codes
[5] Sicherheitsinfo zu Microsoft-Logins: https://mysignins.microsoft.com/security-info/
[6] Browser-Erweiterung "Authenticator": https://authenticator.cc/
[7] KeeOtp2 auf Github: https://github.com/tiuub/KeeOtp2/
Immun gegen Phishing
Unter der Haube setzt FIDO2 auf den W3C-Web-Authentication-Standard (Web­Authn) und das Client-To-Authenticator-Protocol (CTAP). Zusammen realisieren diese eine Authentifizierung basierend auf Kryptografie mittels öffentlicher und privater Schlüssel. Bei der Konfiguration handelt Ihr Browser per Challenge-Response-Verfahren mit dem jeweiligen Onlinedienst ein individuelles Schlüsselpaar aus. Den privaten Schlüssel speichert der Hardware-Token oder TPM-Modul. Auch künftige Anmeldungen funktionieren per Challenge-Response zwischen dem Client und dem Server des Diensteanbieters [11]. Da der private Schlüssel dabei nie den sicheren Speicher des Hardware-Tokens oder Krypto-Chips verlässt, ist Phishing per Man-in-the-Middle-Angriff ausgeschlossen.
Praktischer Einsatz mit Tücken
Was FIDO2 verspricht, erweist sich in der Praxis als nicht frei von Fußangeln. Zwar unterstützen zahlreiche Clouddienste, darunter alle großen Hyperscaler, die Methode inzwischen [12]. Doch bezeichnen sie die Option unterschiedlich, was die Konfiguration erschwert. Halten Sie neben dem Stichwort FIDO2 Ausschau nach Begriffen wie Hardware-Token, Web-Authentifizierung oder
WebAuthn, und testen Sie die Einrichtung sowie Nutzung ausführlich. Verschiedene Dienste implementieren die Anmeldung per FIDO2 zudem höchst unterschiedlich und funktionieren längst nicht mit jeder Kombination von Client-Betriebssystem und Browser.
So unterstützt etwa Microsoft Azure AD die passwortlose Anmeldung mittels FIDO2, doch Sie müssen diese erst ausdrücklich aktivieren. Die Option finden Sie im Azure-Portal unter "Azure Active Directory / Sicherheit / Authentifizierungsmethoden / FIDO2-Sicherheitsschlüssel-Einstellungen". Dort können Sie die Funktion pauschal sowie für einzelne Benutzer oder Gruppen freischalten [13]. Anschließend können Anwender die zusätzliche Methode jeweils für Ihr Microsoft-Konto aktivieren. Doch das funktioniert längst nicht plattformübergreifend.
Die breiteste Unterstützung bietet Microsoft wenig überraschend unter Win­dows, während andere Betriebssysteme nur sehr eingeschränkt oder gar nicht mit FIDO2 harmonieren [14]. Anders als Microsofts Onlinedokumentation versprach, konnten wir unsere YubiKeys unter Google Chrome OS nicht zur Anmeldung verwenden. Auch das Gespann aus Apple macOS mit dem hauseigenen Browser Safari funktioniert nicht. Andere Clouddienste, wie die exemplarisch getesteten Entwicklerplattformen GitHub und GitLab, oder das Content-Management-System Joomla! ab Version 4.1.5 erwiesen sich dagegen als vorbildlich und wir konnten uns Betriebssystem- und Browser-übergreifend an den Diensten anmelden.
Fazit
Gegen die zunehmenden Bedrohungen durch Phishing hilft nur eine gut aufgestellte Abwehrkette. Sensibilisieren Sie Ihre Anwender daher für sichere Passwörter und deren ebenso sichere Aufbewahrung. Außerdem ist der Einsatz von MFA ein unverzichtbarer Baustein, aktuell vorzugsweise in Form des standardisierten TOTP-Verfahrens oder soweit bereits möglich per FIDO2.
Letzteres ist im Kommen, jedoch noch nicht über alle Cloudangebote plattformübergreifend verfügbar. Prüfen Sie daher alle geschäftskritischen Dienste, wählen Sie die MFA-Methode mit der breitesten Abdeckung und investieren Sie in die Schulung der Anwender. Die Sicherheit steht und fällt mit der Akzeptanz im Arbeitsalltag.
(dr)