Lösung für die Kontoübernahme: Warum MFA nur ein erster Schritt ist
Die Multi-Faktor-Authentifizierung (MFA) beseitigt nicht das Risiko einer Kontoübernahme. Dies stellt zwar zusätzliche Hürden dar, entschlossene Angreifer haben jedoch raffinierte Möglichkeiten entdeckt, alle verfügbaren Authentifizierungsfaktoren zu umgehen. Wir sollten MFA nicht als Lösung für die Authentifizierung betrachten, sondern als eine Vergrößerung der Angriffsfläche: Jeder Faktor führt ein neues Abhängigkeitssystem, neue Fehler- und Schwachstellenquellen sowie neue Möglichkeiten für Social Engineering ein. Leider betrachten viele Sicherheitsorganisationen MFA so, wie wir einst den Netzwerkperimeter betrachteten: als ein Bollwerk, das eine breite Palette von Angriffen abwehrt. Der von den Befürwortern der Zero-Trust -Sicherheit aufgedeckte Trugschluss des sicheren Perimeter ermöglichte es Angreifern, Schwachstellen innerhalb von Netzwerken auszunutzen, um sich seitlich zu bewegen und Berechtigungen auszuweiten. Ebenso verhindert der Irrtum, dass MFA das Risiko einer Kontoübernahme eliminiert, dass Sicherheitsorganisationen die Schwächen von MFA und die vielen verbleibenden Systemschwachstellen erkennen, die Benutzerkonten einer kriminellen Übernahme aussetzen. Indem dieses Whitepaper untersucht, wie Angreifer MFA umgehen, zeigt es, dass MFA bestimmte andere Sicherheitsmaßnahmen noch wichtiger macht, nämlich die Abwehr von Bots, den Schutz der JavaScript-Lieferkette und die Überwachung kontextbezogener Risiken. Diese Techniken verstärken die Sicherheitsvorteile von MFA und reduzieren gleichzeitig die für Benutzer damit verbundenen Schwierigkeiten.
Die Treiber von MFA
Trotz seiner Schwächen wird sich MFA auch in Zukunft durchsetzen, und das aus gutem Grund: Die reine Passwort-Authentifizierung hat eindeutig versagt.
Wir Menschen können uns lange, zufällige Zeichenfolgen einfach nicht merken. Deshalb nehmen wir Abkürzungen: Wir wählen leicht zu merkende und vorhersehbare Passwörter, verwenden Passwörter für verschiedene Anwendungen wieder und kritzeln Passwörter auf Post-It-Notizen. Unternehmen mindern dieses Risiko zwar, indem sie Anforderungen an die Länge und Komplexität von Passwörtern stellen, doch das menschliche Gedächtnis ist begrenzt. Selbst bei Komplexitätsanforderungen finden wir Wege, vorhersehbar zu sein: Wir schreiben nur den ersten Buchstaben groß, setzen Sonderzeichen anstelle ähnlich aussehender alphanumerischer Zeichen ($ für S) oder fügen am Ende eines Passworts leicht zu erratende Ziffern wie 123 hinzu. (Siehe Forschungsergebnisse zur Vorhersagbarkeit von Passwörtern .)
Auch wir Menschen haben Schwächen, die uns anfällig für Social Engineering machen. Wir geben unsere Passwörter preis, wenn Angreifer unser Vertrauen, unseren Anpassungswillen, unseren Respekt vor Autoritäten und unsere Hilfsbereitschaft ausnutzen. Wie sich herausstellt, geben die Leute manchmal ihre Passwörter preis, wenn man sie einfach danach fragt. Das können Sie sich in diesem amüsanten Video von Jimmy Kimmel Live ansehen.
Angesichts dieser Schwächen der passwortbasierten Authentifizierung treiben Regierungsbehörden und Industrieverbände die Einführung von MFA voran. Im Mai 2021 erließ Präsident Biden eine Durchführungsverordnung , die Bundesbehörden verpflichtet, MFA innerhalb von 180 Tagen einzuführen, und die Cybersecurity and Infrastructure Security Agency (CISA) fördert MFA für private Unternehmen. Mit seinem Data Security Standard v4.0 schreibt das Payment Card Industry Security Standards Council vor, dass Unternehmen bis zum 31. März 2025 MFA für sämtliche Zugriffe auf die Daten von Kreditkarteninhabern implementieren müssen.
Die klaren Vorteile von MFA gegenüber einer reinen Kennwortauthentifizierung sind der Grund für die zunehmende Verbreitung dieser Methode. Sicherheitsexperten müssen jedoch den Nachteilen von MFA immer mehr Aufmerksamkeit schenken: der Vergrößerung der Angriffsfläche und der Schaffung neuer Schwachstellen, die es Angreifern ermöglichen, Authentifizierungskontrollen zu umgehen.
Die erweiterte Angriffsfläche von MFA
MFA ist als die Anwendung von zwei oder mehr Faktoren im Authentifizierungsprozess definiert. Unter Faktor verstehen wir eine Möglichkeit, mit der Sie nachweisen können, dass Sie die Person sind, die Sie vorgeben zu sein:
- Wissen: etwas, das Sie wissen, wie z. B. ein Passwort oder eine persönliche Identifikationsnummer (PIN)
- Besitz: etwas, das Sie besitzen, z. B. ein Mobilgerät, eine Smartcard, ein Hardware-Token oder ein USB-Laufwerk
- Inhärenz: etwas, das Sie sind, bestimmt durch biometrische Daten wie Fingerabdrücke, Gesichtsscans und Irismuster
Es gibt unzählige Möglichkeiten, MFA zu implementieren. Viele davon eröffnen entweder neue Angriffsflächen oder setzen Anwendungen denselben Schwachstellen aus, die auch für die reine Kennwortauthentifizierung charakteristisch sind.
SMS-basierte MFA
Es gibt unzählige Möglichkeiten, MFA zu implementieren. Viele davon eröffnen entweder neue Angriffsflächen oder setzen Anwendungen denselben Schwachstellen aus, die auch für die reine Kennwortauthentifizierung charakteristisch sind.
Bei der am weitesten verbreiteten MFA-Implementierung wird den Benutzern per SMS ein Einmalkennwort (OTP) gesendet, das im Prinzip den Besitz eines Smartphones nachweist. Im Allgemeinen leitet ein Benutzer die Anmeldung mit einem Benutzernamen und einem Kennwort ein und veranlasst dadurch das Senden der Textnachricht durch die App. Der Benutzer zeigt dann das OTP an und gibt es in die App ein, wodurch die Authentifizierung abgeschlossen und ein Sitzungstoken generiert wird, das für eine festgelegte Dauer gültig ist.
Verbleibende Schwachstellen der SMS-basierten Authentifizierung
Die Implementierung des Besitzfaktors per SMS schließt mehrere wesentliche Schwachstellen nicht. Da der Benutzer das OTP und das Kennwort in die Anwendung eingibt und die Anwendung das OTP über denselben Kommunikationskanal, den die Anwendung verwendet, an den Server zurücksendet, kann ein Angreifer, der entweder die Anwendung, das Gerät oder das Netzwerk kompromittiert hat, auf das Kennwort, das OTP und das Sitzungstoken zugreifen.
Angriff auf den Endpunkt
Angreifer nutzen zahlreiche etablierte und noch immer weit verbreitete Techniken, um Geräte zu übernehmen, indem sie sie mit Malware infizieren, was zu einem Man-in-the-Browser-Angriff (MitB) führt. Durch das Ausführen von Code im Browser können Angreifer das Kennwort und das OTP abrufen, sodass sie sich im Namen des Benutzers authentifizieren können. Alternativ kann der Angreifer die Authentifizierung abschließen und dann die Sitzungskennung stehlen, mit der die Authentifizierung umgangen und auf das Konto eines Benutzers zugegriffen werden kann. (Aktuelle Trends bei der Infektion von Endpunkten durch Malware finden Sie im Bericht von F5 Labs zu BlackGuard Infostealer .)
Kompromittierung der App
Durch die Infizierung einer Anwendung können Angreifer die Konten vieler Benutzer übernehmen. Außer durch die Beeinträchtigung der Infrastruktur eines Unternehmens durch Schadsoftware können Kriminelle Zugriff auf Anwendungsdaten erlangen, indem sie die Codebibliotheken kompromittieren, aus denen die Anwendung besteht. Diese Taktik wird als Supply-Side-Angriff bezeichnet.
Bei einem Angriff auf die Software-Lieferkette zielt der Angreifer typischerweise auf einen vertrauenswürdigen Drittanbieter oder ein Open-Source-Repository ab, das der Zielorganisation Softwarekomponenten (Bibliotheken, Frameworks, Dienste) bereitstellt. Der Angreifer schleust Schadsoftware in die Komponente ein, die anschließend in die Anwendung integriert wird. Dieser Angriff kann effektiv sein, da nicht jeder Anbieter und jedes Open-Source-Team über die erforderlichen Fähigkeiten und Ressourcen verfügt, um sichere Codierungspraktiken durchzusetzen.
Web- und Mobilanwendungen sind besonders anfällig für Supply-Chain-Angriffe, da sie typischerweise Dutzende von Drittanbieter-Skripten enthalten, von denen viele durch Tag-Manager dynamisch zu den Seiten hinzugefügt werden. Diese Skripte, die sich häufig und ohne Vorankündigung ändern, durchlaufen nicht die Code-Sicherheitsprüfungen einer Organisation. Wenn es einem Angreifer gelingt, eines dieser Skripte zu kompromittieren, erhält er die vollständige Kontrolle über eine Anwendung. Das bedeutet, dass er Benutzereingaben lesen, auf Daten im Browserspeicher zugreifen oder den Benutzerverlauf kapern kann, um ihn ohne Warnung auf eine schädliche App umzuleiten.
Diese Angriffe auf die Lieferkette , wie beispielsweise Magecart, haben zu Sicherheitsverletzungen bei Hunderttausenden von Anmeldeinformationen geführt. Diese Supply-Chain-Angriffe funktionieren ganz ähnlich wie MitB-Angriffe gegen jede MFA-Lösung, bei der das den Besitz beweisende Token in die Anwendung eingegeben wird, was bei den meisten Implementierungen mit OTPs typisch ist. Da der Schadcode die Benutzereingaben liest, könnte er sowohl das statische Kennwort und OTP als auch alle anderen von der Anwendung erfassten persönlichen oder finanziellen Informationen stehlen.
Mithören im Netzwerk
Da bei der SMS-basierten Authentifizierung das Kennwort, der OTP-Code und der Sitzungstoken über dieselbe Netzwerkverbindung übertragen werden, bleibt diese Form der MFA anfällig für Man-In-The-Middle -Angriffe (MitM) über typische Angriffsvektoren wie DNS-Poisoning, ARP-Poisoning und betrügerische drahtlose Zugriffspunkte.
Soziale Entwicklung
Einer der häufigsten und erfolgreichsten Angriffe auf SMS-basierte MFA nutzt Social Engineering, um einen MitM-Angriff über Echtzeit-Phishing-Proxys (RTPP) durchzuführen.
Bei diesem Angriff verwendet der Betrüger Phishing-E-Mails, um einen Benutzer dazu zu verleiten, eine vom Angreifer kontrollierte Site zu besuchen, auf der der Benutzer ordnungsgemäß seine Anmeldeinformationen eingibt. Bisher ist diese Taktik identisch mit einem Phishing-Angriff zum Diebstahl von Anmeldeinformationen, um MFA zu umgehen, ist jedoch ein zusätzlicher Schritt erforderlich. Wenn der Benutzer seinen Benutzernamen und sein Passwort in die App eingibt, leitet der Angreifer diese Anmeldeinformationen an die Zielanwendung weiter, die dann eine zweite Faktoranforderung an den Benutzer stellt. Der Benutzer wird die Anfrage höchstwahrscheinlich genehmigen, weil er glaubt, dass er sich gegenüber einer vertrauenswürdigen Anwendung authentifiziert. Der Benutzer klickt auf die Schaltfläche „Genehmigen“ oder gibt das Token pflichtbewusst in die App ein. In beiden Fällen erhält der Angreifer Zugriff auf die Anwendung. (Eine Demo des Angriffs finden Sie in diesem Video von Kevin Mitnick.)
Aufgrund der Automatisierung und der Neigung der Benutzer, auf Phishing-Betrug hereinzufallen, können RTPP-Angriffe in großem Umfang erfolgreich sein. (Weitere Daten zum Wachstum von Echtzeit-Phishing-Proxys finden Sie im Phishing- und Betrugsbericht von F5 Labs .)
Neue Schwachstellen bei der SMS-basierten Authentifizierung
Die Verwendung von SMS als zweiter Faktor schließt nicht nur viele der bestehenden Schwachstellen der reinen Kennwortauthentifizierung nicht, sondern setzt eine Anwendung auch zusätzlichen Angriffsmethoden aus.
Diebstahl eines physischen Geräts
Der vielleicht offensichtlichste Angriff auf eine besitzbasierte Authentifizierung ist der Diebstahl eines physischen Geräts. Ein Krimineller, der ein Telefon stiehlt, könnte Zugriff auf einen in einer Benachrichtigung angezeigten OTP-Code erhalten, selbst wenn das Telefon gesperrt ist. Viele Opfer von Telefondiebstahl haben das Geld auf ihren Bankkonten verloren.
SIM-Austausch (Subscriber Identity Module)
Kriminelle müssen nicht im physischen Besitz eines Telefons sein, um Zugriff auf per SMS gesendete OTPs zu erhalten. SIM-Swapping , auch als SIM-Hijacking oder SIM-Porting bekannt, ermöglicht es Angreifern, die SMS-basierte Authentifizierung zu umgehen, die in kundenorientierten Apps am häufigsten verwendete Form der MFA. Bei einem SIM-Swap-Angriff nutzt der Betrüger die Möglichkeit von Telekommunikationsdienstleistern, eine Telefonnummer auf ein anderes Gerät zu übertragen, eine Funktion, die bei Verlust oder Diebstahl eines Telefons von Vorteil ist.
Der Betrüger sammelt zunächst durch Online-Recherche, Phishing oder Social Engineering persönliche Informationen über das Opfer. Mit diesen Informationen überzeugt der Angreifer die Telefongesellschaft, die Telefonnummer des Opfers auf die SIM-Karte des Betrügers zu übertragen. Oder der Angreifer könnte sich mithilfe von Credential Stuffing, Brute-Force-Angriffen oder einem Wörterbuchangriff Zugang zum Benutzerkonto beim Dienstanbieter verschaffen.
Durch die Kontrolle über den Telefondienst des Opfers empfängt der Betrüger alle SMS und Sprachanrufe, die für das Opfer bestimmt sind. Auf diese Weise kann der Betrüger alle per SMS gesendeten Sicherheitstoken abfangen.
Hardware-Token-Geräte
Hardware-Token-Geräte sind spezielle, normalerweise recht kleine Geräte, die ein OTP anzeigen, das der Benutzer zur Authentifizierung in eine Anwendung eingibt. Diese Geräte bieten eine Möglichkeit, den Besitz nachzuweisen, ohne dass eine Kommunikation zwischen der Anwendung und dem Benutzer erforderlich ist. Dadurch wird eine der Hauptschwachstellen der SMS-basierten Authentifizierung behoben.
Anstatt sich darauf zu verlassen, dem Benutzer bei jeder Anmeldung das OTP zu senden, generiert das Gerät einen OTP-Stream basierend auf einem anfänglichen Startwert und einem Algorithmus. Der Seed-Wert selbst wird beim Einrichten zwischen dem Gerät und dem Authentifizierungsdienst geteilt. Der Startwert wird durch einen Zähler ergänzt, der entweder bei einem Ereignis (z. B. einer Anmeldeanforderung) oder über eine Zeitspanne (z. B. 60 Sekunden) erhöht wird . Wir bezeichnen diese jeweils als ereignisbasiertes OTP (EOTP) und zeitbasiertes OTP (TOTP). EOTP und TOTP sind beides Arten von hashbasiertem OTP (HOTP), da Zähler und Seed zusammen an eine Hash-Funktion übergeben werden, die eine scheinbar zufällige Ziffernfolge generiert, die bei korrekter Implementierung kein vorhersehbares Muster aufweist.
Da das OTP nicht per SMS gesendet werden muss, machen es Hardware-Tokens unmöglich, das OTP abzufangen, bevor es den Benutzer beispielsweise durch SIM-Swapping erreicht. Da der Benutzer das OTP jedoch in die App eingeben muss, die das OTP über denselben Kommunikationskanal wie das Kennwort an den Authentifizierungsdienst überträgt, bleiben die meisten anderen Schwachstellen der SMS-basierten Authentifizierung bestehen. Der Angreifer kann sich Zugriff auf das Kennwort und den OTP verschaffen, indem er den Endpunkt, das Netzwerk oder die Anwendung kompromittiert, und zwar auf die gleiche Art und Weise, wie er es bei per Textnachricht übermittelten OTPs tun würde.
Der gängigste Angriff auf die SMS-basierte Authentifizierung, nämlich Echtzeit-Phishing-Proxys, funktioniert genauso gut mit OTPs, die auf Hardwaregeräten generiert werden. Denn der Benutzer wird dazu verleitet, das OTP auf der gefälschten Site einzugeben, unabhängig davon, ob das OTP auf einem Telefon oder einem speziellen Gerät angezeigt wird.
Während Hardwaregeräte die Möglichkeit ausschließen, dass Angreifer das OTP während der Übertragung an den Benutzer abfangen, basieren die Geräte auf Seed-Werten, die kompromittiert werden können. Angreifer können auf den Startwert zugreifen, indem sie sich physischen Zugriff auf die Geräte verschaffen (siehe Erwähnung eines Elektronenmikroskop-Angriffs in „12+ Möglichkeiten zum Hacken von MFA“ ), die vom Authentifizierungsdienst verwendete Datenbank kompromittieren oder den Einrichtungsprozess abfangen, bei dem der Startwert zwischen dem Gerät und dem Authentifizierungsdienst vereinbart wird.
Authenticator-Apps
Authentifizierungs-Apps können ähnlich wie Hardware-Token funktionieren, indem sie einen Datenstrom aus OTPs auf Grundlage eines anfänglichen Seeds und Algorithmus generieren, sodass der Seed nicht über einen anfälligen Kanal übermittelt werden muss. Sie können aber auch noch einen Schritt weiter gehen und einen alternativen Kanal zur Übermittlung des OTPs verwenden. In diesem Szenario sendet der Authentifizierungsdienst nach der erfolgreichen Überprüfung eines Benutzernamens und Passworts eine Push-Benachrichtigung an die Authentifizierungs-App, die den Benutzer auffordert, die Anfrage zu genehmigen. Nach der Genehmigung sendet die Authentifizierungs-App das OTP direkt an den Authentifizierungsdienst, ohne dass der Benutzer es in die Anwendung eingeben muss. Die Kommunikation zwischen der Authenticator-App und dem Authentifizierungsdienst erfolgt über eine separate Verbindung.
Die Verwendung eines alternativen Kommunikationskanals bedeutet, dass ein Angreifer nicht durch Kompromittierung der Anwendung auf das OTP zugreifen kann, da das OTP nie in die Anwendung eingegeben wird. Zudem ist es schwieriger, sowohl das Kennwort als auch das OTP durch Beeinträchtigung der Netzwerkverbindung abzugreifen, da das Kennwort und das OTP über unterschiedliche sichere Kanäle übermittelt werden. Durch die Kompromittierung des Endpunkts könnte ein Angreifer jedoch sowohl auf das Kennwort als auch auf den OTP-Code zugreifen, wenn die Anwendung selbst und die Authentifizierungs-App auf demselben Gerät ausgeführt werden. (Siehe den Bericht von F5 Labs zu Malware , die Google Authenticator gefährdet.)
Leider verhindern Authentifizierungs-Apps nicht die Verwendung von Echtzeit-Phishing-Proxys. Der Benutzer wird immer noch durch eine Phishing-Textnachricht dazu verleitet, seinen Benutzernamen und sein Passwort auf einer gefälschten Site einzugeben. Nach Eingabe der Anmeldeinformationen löst die Anwendung eine Anfrage an die Authentifizierungs-App aus. Da der Benutzer davon ausgeht, dass er sich gerade bei einer vertrauenswürdigen Anwendung anmeldet, wird er die Anfrage wahrscheinlich genehmigen und damit die Authentifizierung abschließen. Obwohl der Angreifer das OTP nie sieht, hat sein Proxy nun die Kontrolle über eine authentifizierte Sitzung und erhält so Zugriff auf das Benutzerkonto. (Weitere Informationen zu RTPP und Push-Benachrichtigungsauthentifizierung finden Sie in diesem Artikel zu Phishing-Plattformen in Hacker News.)
Darüber hinaus bietet die Benutzerfreundlichkeit von Authentifizierungs-Apps Angreifern eine weitere Möglichkeit, MFA durch Social Engineering zu umgehen. Bei MFA-Bombing- oder MFA-Fatigue-Angriffen bringt der Angreifer das Ziel durch das Senden mehrerer betrügerischer Code-Anfragen dazu, ihm seinen Authentifizierungscode preiszugeben. Der Angreifer verwendet in der Regel automatisierte Tools, um eine große Zahl von Anfragen zu generieren und überhäuft das Opfer mit einer übermäßigen Anzahl von Benachrichtigungen oder Nachrichten, in denen es aufgefordert wird, seinen Authentifizierungscode einzugeben.
Während MFA-Bombing einen Benutzer dazu verleiten kann, ein OTP aus einer SMS-Nachricht oder einem Hardwaregerät einzugeben, ist es besonders effektiv gegen Authentifizierungs-Apps, da der Benutzer die Flut an Anfragen ganz einfach durch Drücken einer Taste stoppen kann.
Biometrische Authentifizierung
Es gibt noch mehr Möglichkeiten zur Implementierung der biometrischen Authentifizierung als die besitzbasierte Authentifizierung. Es gibt nicht nur zahlreiche Methoden, um die Authentifizierungsanforderung auszulösen und diese Daten an den Authentifizierungsdienst zurückzusenden, sondern auch viele Formen der Biometrie vom Fingerabdruck bis zum Iris-Scan. Die für den Scan erforderliche Hardware ist möglicherweise in das Gerät integriert, auf dem die Anwendung ausgeführt wird (z. B. die Kamera eines Fingerabdrucklesers auf einem Laptop), oder es ist separate Hardware erforderlich. Der biometrische Leser kann vom Betriebssystem oder einer speziellen Anwendung gesteuert werden. Angesichts dieser Unterschiede in der Implementierung ist es schwierig, jede Schwachstelle zu modellieren. Man muss sich jedoch darüber im Klaren sein, dass die biometrische Authentifizierung trotz ihres Rufs einer höheren Sicherheit immer noch ganz klare Schwachstellen aufweist.
Tatsächlich kann eine der beliebtesten Methoden zum Umgehen des Besitzfaktors – Echtzeit-Phishing-Proxys – genauso gut zum Umgehen biometrischer Daten verwendet werden. Sobald sich der Benutzer bei einer vom Angreifer gesteuerten Anwendung anmeldet und davon ausgeht, dass es sich um eine vertrauenswürdige Anwendung handelt, verwendet diese Anwendung die Anmeldeinformationen, um sich im Namen des Benutzers bei der Anwendung anzumelden und löst dadurch die Anforderung zur biometrischen Authentifizierung aus. Solange der Benutzer glaubt, dass er sich bei der echten Anwendung authentifiziert, wird er wahrscheinlich mit der biometrischen Authentifizierung fortfahren und dem Angreifer Zugriff auf das Konto gewähren. (Der vom W3C entwickelte FIDO2-Standard WebAuthn umfasst einen Schutz vor Phishing, wird von Webanwendungen allerdings noch nicht so weithin übernommen.)
Ob die biometrische Authentifizierung durch Kompromittierung des Endpunkts, der Anwendung oder des Netzwerks umgangen werden kann, hängt von der jeweiligen Implementierung ab. Sofern das biometrische Authentifizierungssystem auf demselben Gerät wie die Anwendung ausgeführt wird, kann eine Kompromittierung des Endpunkts zu einer Unterbrechung der Authentifizierung führen. Sofern die Anwendung den biometrischen Authentifizierungsprozess verwaltet, kann eine Kompromittierung der App zu einer Unterbrechung der Authentifizierung führen. Und sofern die biometrische Authentifizierung über denselben Kommunikationskanal gesendet wird, den auch die Anwendung verwendet, kann eine Beeinträchtigung des Netzwerks zu einer Unterbrechung der Authentifizierung führen. Kurz gesagt erfordert die biometrische Authentifizierung eine detaillierte, implementierungsspezifische Bedrohungsmodellierung.
Bei der biometrischen Authentifizierung besteht die besondere Anfälligkeit für Kopieren und Spoofing. Denken Sie an Fingerabdrücke. Wir hinterlassen sie überall, auf fast jeder glatten Oberfläche, die wir berühren. Wir hinterlassen sie an Türklinken, in Restaurants, im Müll. Das Sammeln von Fingerabdrücken auf diesen Oberflächen ist trivial; wir alle haben das in Polizeiserien schon unzählige Male gesehen. Auch das Replizieren von Fingerabdrücken ist mit allen möglichen Mitteln – vom 3D-Drucker bis hin zu Gummibärchen – ganz einfach.
Bei anderen Formen der Biometrie herrscht ein anhaltender Wettbewerb zwischen Sicherheitsforschern, die aufdecken, wie biometrische Daten gefälscht werden können, und Anbietern, die Technologien gegen Spoofing entwickeln. 3D-Masken haben Gesichtserkennungssysteme an Flughäfen getäuscht, obwohl diese Masken durch Echtheitsprüfungen und andere Methoden erkannt werden können. Ebenso haben Angreifer Sprachaufzeichnungen mit Deepfake-Sprachsynthese verwendet, um Spracherkennungssysteme zu umgehen . Diese Fälschungen können jedoch möglicherweise durch die subtilen Verzerrungen erkannt werden, die von den Aufnahmegeräten hinzugefügt werden. Sogar Irisbilder können durch die Verwendung kosmetischer Kontaktlinsen oder eines künstlichen Auges reproduziert und gefälscht werden. Verschiedene Anti-Spoofing-Techniken – darunter die Unterscheidung der Beleuchtung zwischen menschlichem Gewebe und synthetischen Materialien – können die Fälschung jedoch erkennen. Kurz gesagt: Die Sicherheit biometrischer Lesegeräte hängt vom aktuellen Stand der Spoofing- und Anti-Spoofing-Technologie ab.
Selbst wenn wir ein Leben wie ein Einsiedler führten und das physische Berühren von Oberflächen vermieden, könnten Angreifer unsere biometrischen Daten stehlen. Durch Malware, Social Engineering und die Ausnutzung ungepatchter Schwachstellen haben Angreifer Milliarden von Benutzernamen und Passwörtern gestohlen. Wenn es Angreifern gelingt, in die Datenbanken einzudringen, in denen unsere Passwörter gespeichert sind, werden sie mit Sicherheit auch in die Datenbanken eindringen, in denen unsere biometrischen Daten gespeichert sind. Und wenn unsere biometrischen Daten erst einmal durch einen einzigen Verstoß offengelegt werden, können wir sie unter Umständen nicht mehr sicher zur Authentifizierung verwenden, je nachdem, ob das Spoofing erkannt wird.
Das Sicherheitsrisiko des Kopierens und Spoofings wird noch dadurch verschärft, dass wir die biometrisch gemessenen Merkmale nicht einfach ändern können. Wenn ein Angreifer ein Passwort stiehlt, können wir es ändern. Wenn ein Angreifer einen OPT-Dongle oder ein Mobiltelefon stiehlt, können wir es ersetzen und den Seed zurücksetzen. Wenn sich ein Angreifer jedoch Zugang zu unserem Fingerabdruck, Handflächenabdruck, Gesichtsbild oder einem anderen biologischen Merkmal verschafft und lernt, diese wirksam zu fälschen, können wir diese körperlichen Merkmale nicht ändern, ohne erhebliche Schmerzen zu erleiden.
Verbesserung der Sicherheit von MFA
Zwar stellt MFA eine Verbesserung gegenüber der passwortbasierten Ein-Faktor-Authentifizierung dar, doch ist es zumindest in den derzeit gängigen Implementierungsformen immer noch anfällig. Betrachten Sie MFA nicht als das Ende der Sicherheitsreise, sondern als einen Neuanfang. Best Practices zur App-Sicherheit sind nach wie vor relevant wie eh und je, darunter Bedrohungsmodellierung, Codeüberprüfungen, Schwachstellenscans, Penetrationstests und Red Teaming. Betrachten Sie bei der Bedrohungsmodellierung jeden Aspekt des Authentifizierungs- und Sitzungsverwaltungsprozesses und berücksichtigen Sie dabei die vielen Angriffspunkte, vom Identitätsspeicher bis hin zur physischen Sicherheit sowie der Netzwerk- und Datensicherheit. Cyberangriffe zielen wahrscheinlich auf das schwächste Glied. Insbesondere die Schwachstellen von MFA weisen auf einige wichtige Problembereiche hin, die mehr Aufmerksamkeit erfordern: Eindämmung der Automatisierung, Schutz vor JavaScript-Lieferkettenangriffen und Berücksichtigung des Risikokontexts.
Entfernen Sie Bots aus Ihrem Netzwerk
Kriminelle nutzen Bots, um mehrere wichtige Angriffe auf MFA zu skalieren, darunter Credential Stuffing, Echtzeit-Phishing-Proxys und MFA-Bombing. Die Abwehr von Bots ist daher der Schlüssel zum Schutz vor allen Formen von MFA.
Bei Credential-Stuffing-Angriffen gemäß der Definition von OWASP stehlen Kriminelle Anmeldeinformationen aus früheren Sicherheitsverletzungen (in der Regel durch Käufe im Dark Web) und testen diese Anmeldeinformationen anhand der Logins anderer Anwendungen. Da durch Sicherheitsverletzungen Milliarden von Anmeldeinformationen offengelegt wurden, maximieren Kriminelle ihren Gewinn, indem sie die Tests mit Bots automatisieren, sodass sie riesige Mengen an Anmeldeinformationen testen können. Das FBI, die US-Börsenaufsichtsbehörde Securities and Exchange Commission und der New Yorker Generalstaatsanwalt haben vor den finanziellen Risiken von Credential Stuffing gewarnt und die Global Privacy Assembly , ein Zusammenschluss von über 130 Regulierungsbehörden, erklärte Credential Stuffing zu einer globalen Bedrohung für die Privatsphäre.
Das Verhindern von Credential Stuffing ist bei MFA genauso wichtig wie bei der reinen Kennwortauthentifizierung. Der ganze Sinn von MFA besteht in der Verwendung von mehr als einem Faktor. Wenn es Ihnen jedoch nicht gelingt, den ersten Faktor zu schützen, bleibt Ihnen nur noch ein Faktor. Sobald ein Angreifer das Passwort eines Benutzers herausgefunden hat, wird die Zwei-Faktor-Authentifizierung zur Ein-Faktor-Authentifizierung und die tiefgreifende Verteidigung geht verloren.
Darüber hinaus ist die Abwehr von Bots von entscheidender Bedeutung, da Kriminelle mit Bots nicht nur Passwörter angreifen. Tatsächlich sind Bots ein wichtiges Instrument zum Starten erfolgreicher Phishing-Proxy-Angriffe in Echtzeit, den gängigsten Mechanismen zum Umgehen von MFA. Wenn ein Benutzer Opfer einer Phishing-E-Mail wird, die ihn dazu verleitet, seine Anmeldeinformationen auf einer gefälschten Site einzugeben, muss der Angreifer diese Anmeldeinformationen an die Zielanwendung weiterleiten, um die MFA-Anforderung zu generieren, unabhängig davon, ob es sich bei dieser Anforderung um eine SMS, eine Authentifizierungs-App oder komplexe biometrische Daten handelt. Um die Anfrage schnell und in großem Umfang weiterzuleiten, muss der Kriminelle den Prozess automatisieren, was bedeutet, dass die Anfrage von einem Bot an die Anwendung weitergeleitet wird. (Eine Übersicht über Dienste, die Bots zum Umgehen von OTP verwenden, finden Sie im Krebs on Security-Beitrag „The Rise of One-Time Password Interception Bots“. ) Dies bedeutet, dass ein Unternehmen die Wirksamkeit von Echtzeit-Phishing-Proxys beeinträchtigen und sowohl Besitz- als auch Inhärenz-Authentifizierungsfaktoren wirksamer schützen kann, indem es unerwünschte Bots daran hindert, Anmeldeinformationen zu übermitteln.
Eine weitere offensichtliche Methode, mit der Kriminelle Bots verwenden, um MFA anzugreifen, ist das MFA-Bombing. Unter Bombing versteht man in diesem Zusammenhang die Generierung von Anmeldeanforderungen in großer Menge, um so viele Authentifizierungsanforderungen auszulösen, dass der Benutzer entweder aus Versehen oder einfach nur, um die Belästigung zu beenden, dieser Anforderung nachkommt. Um eine ausreichend große Anzahl von Anfragen für viele Benutzer zu generieren, damit der Angriff profitabel wird, muss der Kriminelle eine Automatisierung vornehmen, was wiederum bedeutet, dass die Anmeldeanfragen, die Ihre Site erreichen, von Bots erstellt werden.
Wie diese Beispiele zeigen, ist für den Erfolg nahezu aller Angriffe auf MFA im großen Stil Bots erforderlich. Das bedeutet, dass Unternehmen, die MFA implementieren, die Abwehr von Bots ernst nehmen müssen.
Leider sind sich viele Organisationen der Komplexität der Bots und der Entschlossenheit der Kriminellen nicht bewusst, die Bots immer wieder umzurüsten, um eine Erkennung zu umgehen. Vielmehr verlassen sich zu viele Unternehmen auf Techniken zur Bot-Abwehr, die nicht mehr funktionieren, darunter CAPTCHA, IP-Adress-Sperrlisten und HTTP-Header-Fingerabdrücke.
CAPTCHA leistet beim Bot-Schutz wenig, außer dass es echte Kunden verärgert, denn Bots können diese Rätsel mithilfe kostengünstiger CAPTCHA-Lösungsdienste umgehen, die auf maschinellem Lernen und Klickfarmen basieren. Führen Sie einfach eine Websuche nach CAPTCHA-Lösungsdiensten durch und Sie werden mindestens ein Dutzend finden, die in Bezug auf Preis und Geschwindigkeit konkurrieren. Eine informative Lektüre zu diesen Diensten finden Sie in einem Artikel von Dan Woods, Head of Intelligence bei F5, mit dem Titel „Ich war ein menschlicher CAPTCHA-Löser“ . Noch interessanter ist, dass es ChatGPT gelang, CAPTCHA zu umgehen, indem es eine Person durch Social Engineering dazu brachte, das CAPTCHA in seinem Namen zu lösen.
Für Organisationen, die sich zur Abwehr von Bots auf WAF-basierte IP-Sperrlisten verlassen, ist die Aufgabe ebenso gewaltig. Es gibt Dienste , die Bot-Erstellern zig Millionen private IP-Adressen anbieten, mit denen die Bot-Erkennung umgangen werden kann. Diese Dienste werden als rotierende Residential Proxies beworben; der Bot sendet HTTP-Anfragen an den Proxy, ähnlich wie viele Unternehmensbrowser Anfragen über Forward-Proxies senden, und der Dienst wechselt kontinuierlich die öffentliche IP-Adresse, die zum Senden der Anfrage an die Website oder API verwendet wird. In der Vergangenheit verwendeten Bots normalerweise Data-Center-Proxies, oft von Cloud-Diensten, die bekannt und leicht zu identifizieren sind. Diese neuen Proxy-Dienste verwenden jedoch private IP-Adressen aus derselben geografischen Region wie Ihre Kunden. Da jede IP-Adresse aufgrund des NATing durch Internetdienstanbieter (ISPs) gleichzeitig entweder einen Bot oder einen gültigen Kunden darstellen könnte, ist es nicht möglich, alle diese IP-Adressen zu blockieren, ohne Ihre echten Kunden abzuweisen. (Weitere Informationen dazu, wie diese Dienste diese IP-Adressen erhalten, finden Sie im Dokument „Ihr Telefon ist mein Proxy“ .)
Auch der Versuch, Bots anhand von Unterschieden in der Header-Reihenfolge zu erkennen, funktioniert nicht mehr, da Bots den Trick durchschaut haben. Tatsächlich sorgen mehrere Open-Source-Projekte, darunter „stealth-puppeteer“ und „undetected-chromedriver“ , für die richtige Header-Reihenfolge, sodass sich Erkennungsvorgänge bei der Verwendung dieser beliebten Automatisierungs-Frameworks leicht umgehen lassen.
Das Erkennen hochentwickelter Bots erfordert heutzutage eine erweiterte Signalerfassung, Überwachung rund um die Uhr, maschinelles Lernen und eine schnelle Reaktion auf die Umrüstung von Bots. Ohne eine spezielle Bot-Management-Lösung, also eine Abwehr, die Umrüstungen erkennt und schnell darauf reagiert, können Kriminelle mit Bots Angriffe gegen MFA effektiv skalieren.
Schützen Sie sich vor JavaScript-Supply-Chain-Angriffen
Nahezu jede erdenkliche Form der MFA schlägt fehl, wenn die Anwendung gefährdet ist. Wenn der Angreifer Code in eine Anwendung einfügt, ist das Spiel vorbei. Der Angreifer kann Anmeldeinformationen und andere MFA-Eingaben erfassen, Sitzungen durch Diebstahl von Sitzungskennungen übernehmen oder Daten direkt aus der Anwendung exfiltrieren. Moderne Webanwendungen bestehen typischerweise aus über 20 JavaScript-Dateien , die größtenteils von Drittanbietern stammen und nicht vom Anwendungssicherheitsteam des Unternehmens überprüft werden. Daher ist das Risiko einer Anwendungskompromittion durch JavaScript-Lieferkettenangriffe höher als oft angenommen.
Vorhandene clientseitige Sicherheitsprotokolle sind zu statisch, um die dynamischen Web-Apps von heute zu schützen. Die Content Security Policy (CSP) schränkt die Aktionen von Skripten auf eine Weise ein, die Angriffe auf die JavaScript-Lieferkette verhindern kann. Allerdings kann CSP auch zu leicht die Funktionalität einer Site beeinträchtigen, wenn ein Drittanbieter ein Skript dynamisch und auf eine Weise aktualisiert, die den CSP-Einschränkungen zuwiderläuft. Zwar möchten Sie vielleicht, dass ein Skript fehlschlägt, wenn es gegen eine Sicherheitsrichtlinie verstößt, doch ein solcher Fehler in der Produktion könnte dramatische Auswirkungen auf die Kunden haben. (Siehe „Warum schlägt CSP fehl? “) Sub-Resource Integrity (SRI), ein weiteres Web-Sicherheitsprotokoll, ist für dynamische Inhalte von Drittanbietern sogar noch weniger praktikabel , da es bei jeder Skriptänderung eine Aktualisierung der Skript-Tags mit Hash-Werten erfordert, was nicht möglich ist, wenn die Änderungen ohne Ankündigung erfolgen. Tatsächlich ist SRI dazu gedacht, die Art von Skriptaktualisierungen zu verhindern, auf die sich die meisten modernen Anwendungen verlassen.
Ohne klare Kontrollen zum Beseitigen von Schwachstellen in der JavaScript-Lieferkette müssen Unternehmen kreativ werden und Mittel und Wege finden, um das Risiko zumindest zu überwachen. Organisationen können die Skripte auf ihrer Site besser dokumentieren und sie basierend auf der Quelle und Änderungshäufigkeit nach Risiko einstufen. Über Tag-Manager hinzugefügte Skripte sollten regelmäßig überprüft werden, um das Risiko zu bewerten. Es sind Überwachungstools erhältlich, die das Verhalten von Skripten entweder mithilfe von synthetischer Überwachung, CSP im Berichtsmodus oder JavaScript-basierten Agenten verfolgen, die im Browser ausgeführt werden.
Da sich Drittanbieter-Skripte so häufig ändern und keine Möglichkeit zur Sicherheitsüberprüfung besteht, ist es für Unternehmen wichtig, ihre Anwendungen kontinuierlich auf verdächtiges Verhalten zu überwachen, beispielsweise auf Skripte, die vertrauliche Daten lesen und in nicht vertrauenswürdige Domänen exfiltrieren. Ohne diese Überwachung auf JavaScript-Lieferkettenangriffe bietet keine Form von MFA die Sicherheit der Benutzer.
Erkennen Sie bekannte, gute Benutzer und stellen Sie verdächtiges Verhalten infrage
Der Zweck von MFA sollte in der Verbesserung der Sicherheit liegen und nicht darin, Kunden mit sinnlosem Sicherheitstheater zu belasten. Durch die Anpassung der Anmeldeanforderungen an das kontextbezogene Risiko können Unternehmen vermeiden, wertvolle Stammkunden kontinuierlich mit MFA-Anforderungen zu bestrafen. Stattdessen können sie ihnen das Reisen durch erweiterte Benutzersitzungen erleichtern und ihnen ein personalisiertes, unkompliziertes Erlebnis bieten – ähnlich wie die TSA vertrauenswürdigen Reisenden mit TSA PreCheck den Vorgang erleichtert.
Kontextuelles Risiko hat viele Dimensionen:
- Geographie: Meldet sich der Benutzer anhand der IP-Adressen von seinem üblichen Standort aus an?
- ASN (Autonome Systemnummer): Meldet sich der Benutzer anhand der IP-Adresse vom selben ISP wie üblich an, also etwa von einem, der mit seinem Wohnort, seiner Arbeit oder seinem Lieblingscafé verbunden ist?
- Gerät: Meldet sich der Benutzer wie gewohnt vom selben Gerät aus an?
- Uhrzeit/Tag: Meldet sich der Benutzer zur gleichen Tageszeit oder am gleichen Wochentag an wie üblich, vielleicht vormittags für seine Bankgeschäfte und abends zum Spielen?
- Verhalten: Tippt der Benutzer mit der gleichen Geschwindigkeit wie sonst, bewegt er die Maus in den gleichen Mustern und führt er Kopier- und Einfügenvorgänge auf ähnliche Weise durch?
- Funktionalität: Nutzt der Benutzer die gleiche Funktionalität wie sonst?
Wenn der Benutzer nachweislich ein gutes Verhalten an den Tag legt und vom gleichen Ort, mit dem gleichen Gerät, zur gleichen Tageszeit und mit ähnlichem Verhalten unter Verwendung seiner üblichen Funktionen auf eine Site zugreift, ist es möglicherweise nicht einmal erforderlich, vom Benutzer eine Anmeldung abzufordern. Führen Sie stattdessen eine kontinuierliche stille Authentifizierung durch, um die Sitzung zur Bequemlichkeit des Benutzers zu verlängern. Wenn der Kontext vom Normalzustand abweicht und auf ein höheres Risiko hindeutet, können Sie Ihrer Anwendung adaptive Richtlinien hinzufügen, um die Sicherheitsanforderungen schrittweise zu erhöhen: Anforderung einer Kennwortanmeldung, Anforderung einer 2FA, Markieren eines Kontos zur Überprüfung, Benachrichtigung des Benutzers per SMS oder E-Mail über die Anmeldung oder Sperren des Kontos, um den Benutzer zu zwingen, sich an den Support zu wenden.
Allzu häufig wird die Sitzungsdauer unabhängig vom kontextuellen Risiko auf einen festgelegten Zeitraum festgelegt, sodass jeder mit einem Sitzungstoken weiterhin auf die Daten zugreifen kann, für die der Benutzer autorisiert ist, und das Risiko eines Session Hijacking ignoriert wird. Ein sichererer Ansatz besteht darin, den Zero-Trust-Prinzipien zu folgen: Gehen Sie von Verstößen aus und überwachen Sie diese kontinuierlich. Wenn sich der Kontext innerhalb einer Sitzung ändert, beenden Sie die Sitzung vorzeitig und verlangen Sie eine zusätzliche Authentifizierung. Die Strenge hängt dabei davon ab, wie stark sich der Kontext geändert hat und wie sensibel die Daten sind.
Abschluss
Gemäß dem Klischee, dass Sicherheit eine Reise ist, hat MFA mehrere Weggabelungen geschaffen und zusätzliche Optionen bereitgestellt, die bei korrekter Implementierung die Sicherheit auf sinnvolle Weise verbessern. Doch keine Form der Makrofinanzhilfe – egal wie viele Faktoren eine Rolle spielen, wie gut sie umgesetzt wird und wie kostspielig sie ist – ermöglicht es uns, den Weg zum Ziel zu überspringen. Wir werden sicherlich noch mehr Erklärungen hören, dass Passwörter kein Passwort mehr sind, und noch mehr Hype darum, dass neue MFA-Techniken die Authentifizierung ein für alle Mal sicher machen werden. Doch entschlossenen Angreifern wird es weiterhin Möglichkeiten geben, die neue Technologie zu umgehen.
Auf Ihrem Weg zur besseren Absicherung kritischer Anwendungen steht Ihnen F5 als Partner zur Seite. Zu den Distributed Cloud Services von F5 gehören Bot Defense zur Bot-Eindämmung, Client-Side Defense zur Überwachung von JavaScript-Supply-Chain-Angriffen und Authentication Intelligence zum Erkennen wiederkehrender Benutzer und Quantifizieren kontextbezogener Risiken. Mit der Unterstützung von F5 können Sie die Sicherheit von MFA gewährleisten und gleichzeitig das Kundenerlebnis optimieren. Erfahren Sie mehr über F5 Distributed Cloud Services und melden Sie sich für ein Gespräch mit unserem Team an.
Verbinden mit F5
