Google benachrichtigt Chromebook-Benutzer, ihre internen Sicherheitsschlüssel zurückzusetzen
Die Erfindung der Zwei-Faktor-Authentifizierung ( Two-Factor Authentication, 2FA) war aufgrund der inhärenten Mängel des herkömmlichen Benutzernamen- und Kennwortsystems erforderlich. Sicherheitsexperten befürworten den Einsatz seit Jahren, und aufgrund des ständigen Lobes sind einige Menschen versucht zu glauben, dass sie durch die Aktivierung von 2FA die Möglichkeit einer Kontenübernahme so gut wie ausgeschlossen haben. Aus diesem Grund schalten sie 2FA ein und achten viel weniger auf ihre Passwörter.
Diese Benutzer neigen jedoch dazu zu vergessen, dass bei einem Ausfall von 2FA nur das einfache Kennwort für die Sicherheit ihrer Daten sorgt. Eine kürzlich von Google gemeldete Chromebook-Sicherheitsanfälligkeit ist ein weiterer Beweis dafür, dass 2FA fehlschlagen kann. Bevor wir zu den Details kommen, müssen wir sehen, wie das fragliche 2FA-System funktioniert.
Table of Contents
Einige Chromebooks verfügen über integrierte 2FA-Systeme
Wie Sie wahrscheinlich wissen, kann 2FA auf verschiedene Arten implementiert werden. Experten halten die Systeme, die sich um den U2F-Standard drehen, für am sichersten, da der zweite Faktor häufig auf einem Hardware-Token beruht, das nicht über das Internet entführt werden kann. Darüber hinaus generieren komplexe kryptografische Algorithmen spezielle Schlüssel, die im Vergleich zu Codes, die über Textnachrichten oder temporäre Kennwörter gesendet werden, viel mehr Sicherheit bieten.
Vor etwas mehr als einem Jahr hat Google beschlossen, ein ähnliches 2FA-System in seinen Chromebooks zu implementieren. Der Unterschied bestand darin, dass die zusätzlichen Hardware-Token weggefallen sind. Um den zweiten Faktor zu aktivieren, müssen Sie lediglich den Ein- / Ausschalter des Chromebooks drücken. Ursprünglich war das System nur in den Pixelbüchern von Google verfügbar, aber nach einer Weile verwendeten andere Hersteller Chips, die es auch auf ihrer Hardware ermöglichten. Google nennt die Technologie "Integrierter Sicherheitsschlüssel" und es ist unumstritten, dass sie sich noch in der Testphase befindet. Es ist klar, dass es Dinge gibt, die angegangen werden müssen.
Ein Fehler in der 2FA-Implementierung von Google gefährdet Sicherheitsschlüssel
Das Herzstück des anfälligen 2FA-Systems ist ein ECDSA-Algorithmus (Elliptic Curve Digital Signature), der zufällige geheime Werte generieren soll. Diese Werte werden zusammen mit den beim Onlinedienst registrierten kryptografischen Signaturen verwendet, um die Schlüssel zu generieren, die den zweiten Faktor liefern.
Das Sicherheitsteam von Google stellte fest, dass die generierten Werte aufgrund einer fehlerhaften Implementierung des ECDSA eine viel geringere Entropie aufwiesen als erwartet. Dies bedeutete, dass ein Angreifer diese Werte erraten und unter Verwendung gestohlener Signaturen den wichtigsten Schlüssel berechnen konnte, wobei der zweite Faktor besiegt wurde, ohne Zugriff auf das Chromebook des Opfers zu haben.
Es muss gesagt werden, dass nicht jeder einen solchen Angriff ausführen kann. Zunächst müssen die Hacker die richtige Signatur erhalten, die normalerweise über HTTPS übertragen wird und nur schwer abzufangen ist. Dann müssen sie herausfinden, wie die anfällige ECDSA-Generation funktioniert, und die genauen Werte berechnen, die sie schließlich zum Schlüssel führen.
Die Sicherheitsanfälligkeit wurde bereits behoben
Trotz der Tatsache, dass ein Angriff für die meisten Menschen nicht sehr wahrscheinlich ist, hat Google das Richtige getan und die Sicherheitslücke geschlossen. Chrome OS Version 75 enthält einen Patch. Chromebook-Benutzer (insbesondere diejenigen, deren Laptops im Abschnitt "Betroffene Geräte" der Google-Veröffentlichung aufgeführt sind ) müssen sicherstellen, dass sie installiert sind. Personen, die das anfällige 2FA-System verwendet haben, sollten auch die Warnungen des Betriebssystems beachten und ihre registrierten Signaturen durch neue ersetzen.
Eine Sache, die die Leute nicht tun dürfen, ist, 2FA wegen Schwachstellen wie der oben beschriebenen auszuschalten. Ja, es funktioniert manchmal nicht so, wie es sollte, aber selbst die weniger sichere Implementierung fügt noch eine Schutzschicht hinzu, die es ohne sie einfach nicht gibt. Vergessen Sie jedoch nicht, dass der erste Faktor genauso wichtig ist wie der zweite.
