Jeder Benutzer ist mit der Aufforderung vertraut zur Sicherheit seine Handynummer als zweiten Faktor zu hinterlegen. Auch im Büro reicht ein Passwort allein meistens nicht aus um sich anzumelden, hier hat sich die Zwei-Faktor-Authentifizierung (2FA) mit PINs, TANs und Token gewissermaßen genau durchgesetzt. Richard Gold erklärt jedoch in der aktuellen Ausgabe von iX 10/2019, dass dies zu Unrecht geschehen ist, da es keine Garantie für Sicherheit gibt und die 2FA automatisiert gehackt werden kann.
Zwar hat die 2FA einen guten Ruf, allerdings fast alle Verfahren lassen sich überlisten ? und ebenfalls automatisch; weil systemische Fehler vorhanden sind. Hierfür gibt es derzeit ein Toolkit von Sicherheitsexperten: Muraena & NecroBrowser umgeht die 2FA und automatisiert Phishingangriffe größtenteils. Entsprechend überraschte es nicht, dass Hacker das Konto des Twitter-CEOs Jack Dorsey trotz aktiver Zwei-Faktor-Authentifizierung übernehmen konnten.
Bloß U2F und FIDO2 lassen sich mit Muraena & NecroBrowser nicht aushebeln. Das liegt unter anderem daran; dass sie den Server mit kryptografischen Methoden authentifizieren. Alle Details zur mangelnden Sicherheit der 2FA finden Interessierte im Artikel.
Siehe dazu auch:
- Sicherheit: Muraena und NecroBrowser hacken Zwei-Faktor-Authentifizierung, iX 10/2019, S. 96
Kommentare