top of page

Gehackt trotz 2FA? -> Passkey ist die Zukunft


Passkey
Passkey - die sichere Art um sich einzuloggen!

In der Zwischenzeit sollten (hoffentlich) alle verstanden haben, dass einfache Passwörter genau so viel schützen, wie gar kein Passwort. Darum setzen viele eine 2-Faktor Authentifizierung ein. Was vielen aber noch nicht realisiert haben ist, dass auch Konten mit 2-Faktor Authentifizierungen (2FA) manchmal gehakt werden können. Denn trotz der Sicherheitsverbesserungen mit 2FA und den Einsatz eines komplexen Kennwortes, wurden in den letzten Monaten nicht wenige Social Media Konten (unter anderem von Facebook) gehakt werden.


Wie?

Die 2-Faktor-Authentifizierung erhöht die Sicherheit erheblich, ist jedoch nicht unfehlbar - vorallem wenn die 2FA mittels SMS gelöst ist. Anbei einige Gründe und Erklärungen dazu:


  1. Phishing-Angriffe: Wir haben selbst bereits Phishing-Techniken bei Phishing-Tests eingesetzt, bei welchen wir erfolgreich die Benutzer dazu verleiten konnten, ihre Anmeldeinformationen und den darauf folgenden 2FA-Codes auf einer gefälschten Websites einzugeben. Wenn man also schnell genug ist (und man sieht live, wenn der 2FA-Token eingegeben wird), kann man sich einloggen, während der "echte" Benutzer ja noch immer auf der gefälschten Seite ist und dort gerade die Meldung sieht, dass etwas nicht geklappt hat... Ist man drinn, hat man sehr schnell ein eigenes Gerät für den 2FA eingerichtet und der eigentliche Besitzer hat sein Konto für immer verloren.

  2. Man-in-the-Middle-Angriffe (MitM): Bei dieser Art von Angriff setzt sich ein Angreiffer zwischen den Benutzer und die echte Website, wartet auf die Eingabe, überwacht die Datenübertragung, und fängt so die Daten, die zwischen den beiden übertragen werden, einschließlich des 2FA-Codes ab.

  3. Kontoübernahme über SIM-Swap: In diesem Falle übernimmt ein Hacker die Kontrolle über die Telefonnummer des Opfers, in der Regel durch Social Engineering oder durch klonen der SIM-Karte. Sobald dieser die Kontrolle hat, landen den 2FA-Codes, die per SMS versendet werden direkt auf seinem Gerät.

  4. Verwendung von bereits kompromittierten Geräten: Natürlich ist es auch relativ einfach an die 2FA-Codes zu kommen, wenn eines der Geräte des Benutzers (bspw. das Notebook oder das Smartphone) bereits mit Malware infiziert ist. So kann ein Angreifer nicht nur theoretisch alle auf diesem Gerät eingegebenen oder angezeigten Informationen erfassen, einschließlich 2FA-Codes. Bei Bedarf kann dieser so auch Screenshots des Bildschirminhaltes erstellen oder gleich live übertragen, was auf dem Bildschirm angezeigt wird.

  5. Backup-Codes: Nicht selten speichern Benutzer (erleben wir selbst auch immer wieder bei Kunden) ihre Backup-Codes für den 2FA an unsicheren Orten oder teilen diese sogar. Wenn ein Angreifer Zugriff auf diese Codes erhält, kann er sie verwenden, um sich anzumelden. Denn genau dafür sind diese Backup Codes gedacht. Sollte man aus irgendwelchen Gründen keinen Zugriff mehr auf den 2FA haben, kann man diesen mittels Backup Codes zurücksetzen.

  6. Fehler im Login-System des Anbieters (Im konkreten Fall das Beispiel von Facebook): Ein Fehler in einem neuen 2FA-Login-System, das Meta für die entwickelt hat ermöglicht(e) Cyberkriminellen alleine durch das Kennen der Telefonnummer des Opfers, den 2FA-Schutz des Kontos einfach zu überspringen.Wie das? Meta hatte es verpasst, eine Einschränkung der Anzahl Versuche festzulegen. Mit der Telefonnummer des Opfers konnte ein Angreifer sich im zentralisierten "Accounts Center" einloggen, die Telefonnummer des Opfers eingeben, diese Nummer mit seinem eigenen Facebook-Konto verknüpfen und dann den Zwei-Faktor-SMS-Code durch Brute-Force-Methoden knacken. Und da keine Obergrenze bezüglich der Anzahl Versuche gesetzt war, konnte die Brute-Force-Attacke beliebig lange dauern.Sobald der Angreifer den richtigen Code hatte, wurde die Telefonnummer des Opfers mit dem Facebook-Konto des Angreifers verknüpft. Ein erfolgreicher Angriff hat zur Folge, dass Meta eine Nachricht an das Opfer sendet und mitteilte, dass der Zwei-Faktor-Schutz erfolgreich deaktiviert wurde, da seine Telefonnummer mit dem Konto einer anderen Person verknüpft wurde.



Wie schütze ich mich den am besten vor solche Angriffen?

Das Schlüsselwort lautet Passkey. Leider wird diese Methode noch nicht von allen Systemen und Portalen unterstützt, aber es ist stark im Vormarsch.


Aber was sind Passkeys genau?

Passkeys sind eine neue Methode, um sich bei Apps und Websites anzumelden. Passkeys sind also darauf ausgelegt, die Online-Sicherheit auf einfache Art und Weise massgeblich zu verbessern. Stattdessen ermöglichen Passkeys den Benutzern die Anmeldung bei Apps und Webseiten auf die gleiche Weise, wie sie ihre Geräte entsperren: mit einem Fingerabdruck, einem Gesichtsscan oder einer Bildschirmsperre-PIN. Und im Gegensatz zu Passwörtern sind Passkeys resistent gegen Online-Angriffe wie Phishing, was sie sicherer macht als den vorgängig erwähnten SMS-Einmalcodes.


Wie Passkeys funktionieren

Im Gegensatz zur traditionellen Methode, bei der Benutzer ein Passwort selbst erstellen (oder durch einen Passwortmanager erstellen lassen), generiert bei Passkeys das Gerät des Benutzers ein einzigartiges Paar mathematisch zusammenhängender Schlüssel während der Kontoerstellung auf einem WebAuthn-fähigen Dienst. Der öffentliche Schlüssel, der nicht vertraulich ist, wird auf den Servern des Dienstes gespeichert, während der private Schlüssel auf dem Gerät des Benutzers verbleibt.

Branchengiganten wie Google, Apple, Microsoft und andere unter dem Banner der FIDO Alliance haben die Passkey-Technologie unterstützt, was auf eine starke Branchenneigung hin zu dieser sichereren Authentifizierungslösung hindeutet. 1Password (Passwortmanager) hat ebenfall bereits die Unterstützung bekannt gegeben, was das Ganze auch für nicht IT-Leute und Personen ohne Fachkenntnisse deutlich ermöglicht, die eigenen Konten sicher zu schützen.


Ein paar weitere Tipps zur Erhöhung der eigenen Sicherheit


  • Setzen Sie, wie bereits erwähnt, wo immer möglich und unterstützt auf Passkey anstatt auf traditionelle Logins.

  • Setzen Sie, wenn Passkey nicht verfügbar ist, immer physische Token oder Authentifizierungs-Apps wie Microsoft Authenticater, Google Authenticator oder Authy ein, und verzichten Sie ganz auf SMS-basierte 2FA.

  • Stellen Sie immer sicher, dass sie auf der echten Seite und nicht auf einer Phishing-Seite sind, bevor sie Anmeldeinformationen eingeben.

  • Überprüfen Sie regelmässig Ihre Geräte auf Malware und stellen Sie sicher, dass sie stets aktuelle Sicherheitspatches installiert haben.

  • Seien Sie immer sehr vorsichtig, wenn sie E-Mails, SMS oder Anrufe von angeblichen Dienstleistern erhalten, die nach persönlichen Daten fragen.


Tipps zum Erkennen von Phishingangriffe finden Sie auf unserem kostenlosen Spickzettel.


Phishing_Spickzettel
.pdf
Download PDF • 258KB

Comments


bottom of page