Ein mindestens 12-stelliges Passwort mit Sonderzeichen und Zahlen? Nie das gleiche Passwort für mehrere Logins? Oder besser gleich Passphrases? Alles Quatsch meint Microsoft! Anstatt sich intensiv mit Kennwortregeln zu beschäftigen, sollten Sie besser auf Zwei-Faktor bzw. Mehrfaktor-Authentifizierung setzen.
Diese, wie wir finden überraschenden Aussagen stammen nicht von uns, sondern von Alex Weinert, Leiter des Programms für Identitätsschutz bei Microsoft. Nachzulesen ist das im Blogbeitrag mit dem Titel «Your Pa$$word doesn’t matter». Und das ist nicht das einzige Microsoft Statement zum Thema Passwort. Erst im Mai 2019 veröffentlichte Microsoft ein Statement gegen das regelmäßige Ändern von Passwörtern. Aber, was hilft denn dann gegen die ca. 300 Millionen Angriffe auf Online Konten von Microsoft-Nutzern sowie gegen die Attacken auf alle Nicht-Microsoft Remote-, Cloud und Web-Logins? Und wieso sind Passwörter plötzlich unwichtig? Und wie schützt Mehrfaktor-Authentifizierung gegen die häufigsten und gefährlichsten Angriffsmethoden?
Angriffsmethoden bei denen Passwörter versagen
Angreifer werden nur dann kreativ, wenn es keinen einfacheren Weg gibt Passwörter und damit digitale Identitäten zu stehlen. Außerdem muss sich der zusätzliche Aufwand bzw. die zu erwartenden Beute lohnen. Wenn Sie noch kein Opfer einer Attacke waren, dann sind Sie entweder sehr gut oder es Sie machen nach außen den Anschein, dass nichts zu holen ist. Der zweite Punkt ist auch irgendwie unbefriedigend! Falls eines Ihrer Online-Konten oder Ihrer Zugänge bereits «gehackt» wurden, dann finden Sie nachfolgend eine der Angriffsmethoden, die Ihre Abwehr wahrscheinlich überlistet hat:
- Häufig bestehen Logins aus eMail-Adresse und Passwort. Credential Stuffing macht sich diesen Umstand zu Nutze und überprüft bereits gestohlene Anmeldedaten auf Validität. Egal wie komplex und stark Ihr Passwort auch immer sein mag: Bei dieser Angriffsmethode spielt die Passwortstärke keine Rolle, denn es ist bereits bekannt. Credential Stuffing kommt täglich mehr als 20 Millionen Mal vor. Sind für die erfolgreiche Anmeldung allerdings weitere Faktoren wie ein Einmalkennwort (OTP), ein persönliches Device oder biometrische Merkmale notwendig führt Credential Stuffing den Angreifer ins Leere.
- Bei Phishing bzw. Man-in-the-Middle Angriffen geben Sie den Hackern Ihr Passwort sogar freiwillig. «Ihre Bank» oder irgendein Online-Service, den Sie auch tatsächlich nutzen, schickt Ihnen eine eMail und fragt zur Sicherheit Ihre Anmeldedaten erneut ab oder verspricht Ihnen ein kostenloses «Was-auch-immer» wenn Sie sich hier und jetzt sofort anmelden. Das Portal ist ein Fake, Ihre Anmeldedaten sind korrekt und schon ist es passiert. Auch hier hilft Ihnen ein komplexes Passwort nicht, Mehrfaktor-Authentifizierung aber schon. Man geht davon aus, dass 0,5% aller eMails Phishing-.Mails sind. Bei ca. 293 Milliarden (Quelle: Statista.com) eMails pro Tag, ist das Risiko durch Phishing mit knapp 1,5 Milliarden täglichen Angriffen sehr hoch. Im Gegensatz zu früher sind Phishing-Mails heute nur noch sehr schwer zu identifizieren. Lediglich der gesunde Menschenverstand, hohe Wachsamkeit und Mehrfaktor-Authentifizierung können hier helfen.
- Bei Keystroke Logging oder Malware-Sniffing erfasst und überträgt Malware Ihre Tastatureingaben und damit u.a. auch die eingegebenen Anmeldedaten. Diese Methode ist für Hacker sub-optimal, da aus der Fülle der Eingaben erst Anmeldenamen und Passwort herausgefiltert werden müssen. Trotzdem kommt auch diese Variante laut Microsoft sehr häufig vor. Beim Einsatz einer Mehrfaktor-Authentifizierung ändert sich der OTP bei jeder Anmeldung und schützt dementsprechend auch gegen diese Angriffsmethode.
- Spray-and-pray: Dieser Begriff aus dem unkoordinierten Massen-Marketing ist bei Hackern unter dem Begriff Password-Spraying bekannt. Dabei werden typische Passwörter, die häufig verwendet werden, bei einer großen Anzahl von Nutzerkonten ausprobiert. Im Gegensatz zu Brute-Force-Attacken (Wörterbuch-Attacken) ist Password-Spraying eine gezieltere Form des Angriffs. Diese Art wird auch «Low and Spray» genannt, weil durch die große Anzahl der damit attackierten Konten, die Richtlinien zur Kontosperrung (Anzahl fehlerhafter Anmeldungen in einer festgelegten Zeit) ausgehebelt werden können. Password-Spraying kommt im Gegensatz zu den viel bekannteren Brute-Force-Attacken sehr häufig vor und macht 16% aller Angriffe aus. Wenn Sie Passwörter wie «Passwort», «Passwort123» oder «qwertz» etc. verwenden, gehören Sie früher oder später ganz sicher zu den Password-Spraying-Opfern. Komplexe und starke Passwörter können hier einen Unterschied machen. Der Einsatz einer Mehrfaktor Authentifizierung schützt Sie auch hier garantiert!
- Während die oben aufgeführten Angriffsmethoden sehr häufig bis häufig vorkommen, werden Accounts seltener durch Verfahren mit den komisch klingenden Namen Dumpster Diving, Network Scanning, Blackmail, AD-Extraktion oder Insider Threat angegriffen.
Bei drei der vier häufigsten Angriffsmethoden ist die Passwortstärke (Länge und Komplexität des Passworts) also irrelevant. Die Ausnahme ist Password-Spraying. Microsoft empfiehlt trotzdem ein Passwort > 8 Zeichen inkl. Sonderzeichen und Zahlen zu verwenden. Und möglichst keine bekannten Begriffe, die im Zusammenhang mit Ihrem Namen und/oder der Anmeldung stehen (z.B. Outlook123 für das Outlook Login) bzw. aus Zeichen, die auf der Tastatur nebeneinanderliegen. Eine Passwort-Manager App kann Ihnen helfen, komplexe Passwörter zu generieren und sich diese auch zu merken bzw. merken zu lassen.
Wie schützt Mehrfaktor-Authentifizierung?
Statische Anmeldeverfahren sind also vielfach angreifbar. Oftmals sind der Name des Anmeldenden und die eMail Adresse bereits öffentlich bekannt. Bei der Zwei- oder Mehrfaktor Authentifizierung ist für die erfolgreiche Anmeldung mindestens ein weiterer Faktor erforderlich. Streng genommen spricht man erst dann von einer Zwei-Faktor-Authentifizierung, wenn mindestens zwei unterschiedliche Faktoren aus den Bereichen «Haben», «Sein» und «Wissen» abgefragt werden Das Passwort ist z.B. Ihr «Wissen». Außer es ist ein Kennwort, dass auch andere kennen. Biometrische Eigenschaften, wie ein Fingerabdruck, ein Passbild, Face ID etc. gehören zum Faktor «Sein». Chipkarte, Ausweis, EC-Karte, Hardware-Token oder eben auch Smartphones sind etwas was Sie haben.
Bei einer Zwei- bzw. Mehrfaktor Authentifizierung wird ein One-Time-Passcode (=numerisches Passwort) oder ein One-Time Password dem Anmeldenden erst dann zur Verfügung gestellt, wenn er sich durch die korrekte Kombination von Anmeldenamen und Passwort bereits authentifiziert hat. Wie der Name One-Time… bereits ausdrückt, handelt es sich hierbei um ein Einmalkennwort, dass nur für die aktuelle Anmeldung gültig ist. Meistens sind die OTPs sitzungs-basierend, d.h. sie funktionieren nur zusammen mit der ursprünglichen Session-ID. Das schließt Man-in the-Middle Angriffe damit per se aus, da der «Mittelsmann» eine neue Sitzung aufbauen muss, was wiederum eine neue Session-ID erzeugt.
Jetzt stellt sich noch die Frage, wie das OTP zum Anmeldenden kommt? Traditionelle Verfahren nutzen dabei einen Hardware-Token. Dieser erzeugt alle 6-Sekunden synchron zum Anmeldeserver einen neuen Passcode. Gibt der Anmeldende den Passcode innerhalb der vorgeschriebenen Zeit ein, bekommt er den gewünschten Zugang. Der Nachteil: Hardware-Token sind ein zusätzliches Device, dass nicht vergessen werden darf und die Zwei-Faktor Authentifizierung kostspielig macht. Auch für das Online-Banking gibt es TAN-Generatoren, aber die Mehrzahl der Kunden nutzen Apps auf dem Smartphone zur Freigabe von Bankgeschäften. Auch bei der Zwei-Faktor Authentifizierung gibt es neue und sichere Verfahren die sich dort Push-Notification und Soft-Token nennen. Beide Verfahren haben eine hohe Usability, was deren Akzeptanz beim Anwender erhöht. Der SMS Passcode dagegen spielt, wie die SMS-TAN nach dem PSD2-Update bei Banken kaum mehr eine Rolle.
Gibt es durch Mehrfaktor-Authentifizierung auch einen Mehrwert?
Im Prinzip sind auch Mehrfaktor-Authentifizierungen per Definition nur Zwei-Faktor Authentifizierungen, dann auch sie bestehen nur aus den oben erwähnten zwei Faktoren aus 3 Bereichen. Bei dem Begriff handelt es sich also um ca. 60% Marketing und 40% Wahrheit. Bleiben wir zur Erklärung der Unterschiede bei der Push-Notificationen (siehe Bild): Wird hier zusätzlich zur Freigabe der Anmeldung eine zusätzliche PIN abgefragt, dann spricht der Werbende bereits von einer Mehrfaktor-Authentifizierung.
Genauer betrachtet wird allerdings nur der Faktor «Haben» ein zweites Mal für die Anmeldung bemüht. Trotzdem erreicht man bei der Push-Notification mehr Sicherheit, wenn der Anwender sein Smartphone so konfiguriert hat, dass Mitteilungen nicht im Sperrbildschirm für Außenstehende sichtbar sind. Hier schützt eine zusätzliche PIN durchaus. Neben einer PIN können auch biometrische Merkmale wie z.B. Face ID oder ein Fingerabdruck, Geofencing, Begrenzung auf IP-Adressbereiche, ungewöhnliches Anwenderverhalten zusätzliche Soft-Facts sein, die auch tatsächlich zusätzliche Sicherheit bringen. Viele 2FA-Lösungen wurden durch die Nutzung moderner Smartphones als Empfänger oder OTP-Generator praktisch zufällig zu Mehrfaktor-Authentifizierungen.
Weitere Blogbeiträge zum Thema
Ein Leser hat uns auf das Phishing-Tool MODLISHKA aufmerksam gemacht. Damit ist es möglich Phishing Seiten zu erstellen, Zugangsdaten mitzulesen und auch eine Zwei-Faktor Authentifizierung zu umgehen. Modlishka fungiert dabei als Reverse-Proxy zwischen Opfer und der eigentlichen Zielwebseite. Durch dieses Verfahren sollen, außer beim Einsatz von U2F-Hardwaretoken (beispielsweise YubiKey), vollautomatisierte Man-in-the-Middle (MITM) Angriffe möglich sein. Man erkennt entsprechend modifizierte Webseiten an der fehlenden HTTPS-Verbindung. Ob damit auch Session-basierte OTPs umgangen werden können, erschließt sich uns aber nicht eindeutig, da auch in diesem Fall eine neue Sitzung erstellt werden muss. Bilden Sie sich Ihre eigene Meinung und kommentieren Sie gerne diesen Beitrag. Mehr zu Modlishka finden Sie auf Golem und ZDNet.
Schützt Ihre Daten
Hardware-Token im Kreditkartenformat
Sind SMS-Passcode und Voice Call noch zeitgemäß?
Keine sichere Authentifizierung unter dieser Nummer!
Regelmäßigen Passwortwechsel vermeiden
BSI: Ein zeitgesteuerter Passwortwechsel sollte vermieden werden
Homeoffice
Multi-Faktor-Authentifzierung für das Homeoffice