Microsoft behauptet, dass 99,9% aller Account-Hacks durch Hinzufügen von MFA verhindert werden können

Die Zwei-Faktor-Authentifizierung (2FA) oder die Multi-Faktor-Authentifizierung (MFA) ist nicht perfekt (und wird es auch nie sein). Motivierte Cyberkriminelle haben bereits verschiedene Tools und Techniken entwickelt, mit denen sie 2FA umgehen können, und sie haben sie bei realen Angriffen eingesetzt. Jeden zweiten Tag lesen wir, wie OTP-Codes gefälscht werden können und wie Medien wie E-Mail und SMS nicht die Sicherheit bieten, die für die Übertragung dieser Art von Informationen erforderlich ist. Selbst spezialisierte Apps wie Google Authenticator sind nicht immun gegen erfolgreiche Angriffe, was viele an der zusätzlichen Sicherheit von 2FA zweifeln lässt. In einer Präsentation während der RSA-Konferenz im vergangenen Monat in San Francisco brachte Alex Weinert, Director of Identity Security von Microsoft, einige Statistiken heraus, die zeigen, wie irrelevant diese Befürchtungen sein können.

Fast alle gefährdeten Unternehmenskonten verwenden kein MFA

Die Zahlen, die Weinert vorstellte, betrachteten angesehene Unternehmensbenutzer von Azure AD, dem Identitäts- und Zugriffsverwaltungssystem von Microsoft, und sie dienen als Beweis (als ob ein Beweis erforderlich wäre), dass Geschäfts-Cloud-basierte Konten ständig kompromittiert werden. Allein im Januar entdeckte Microsoft erfolgreiche Angriffe auf nicht weniger als 1,2 Millionen Konten. Laut Weinert sind dies 0,5% aller Benutzer, was vielleicht nicht viel klingt, aber wenn man bedenkt, dass dies nur die monatlichen Statistiken sind, sieht es etwas besorgniserregender aus. Noch beängstigender ist jedoch die offensichtliche Verhinderbarkeit all dieser Angriffe.

Satte 99,9% aller erfolgreich kompromittierten Konten waren nicht durch MFA geschützt. Dies zeigt, wie schlecht der Fokus manchmal verlegt sein kann. Während Benutzer die Multi-Faktor-Authentifizierung nicht aktivieren, weil sie befürchten, dass ein motivierter Angreifer ihre temporären Codes stehlen kann, brechen die Angreifer selbst in Konten ein, ohne dass solche Codes erforderlich sind. Es ist klar, dass die Adoptionsraten immer noch niedrig sind, und obwohl Sicherheitsforscher, die Mängel in 2FA-Systemen entdecken, dies zum Wohle aller tun, indem sie auf die Schwächen hinweisen, halten sie die Menschen versehentlich von dieser Funktion ab. Es muss gesagt werden, dass dies nicht das einzige Problem ist.

Legacy-Authentifizierungsprotokolle und eine schlechte Kennwortverwaltung helfen auch Hackern

Wir dürfen nicht vergessen, dass es sich um Geschäftskonten handelt, was die Dinge sofort viel komplizierter macht. Wie Microsoft betonte, ist MFA häufig nicht einmal eine Option für Benutzer.

Laut dem weltweit beliebtesten Anbieter von Betriebssystemen richtet sich die überwiegende Mehrheit der Angriffe auf die Kontoübernahme an Unternehmen, die das verwenden, was Microsoft als "Legacy-Authentifizierung" bezeichnet. Diese Organisationen haben ihre gesamte IT-Infrastruktur auf alten Protokollen aufgebaut, die 2FA überhaupt nicht zulassen. Die Angreifer wissen eindeutig, wie schwach diese Protokolle sein können, und sie werden nicht davor zurückschrecken, diese Tatsache auszunutzen. Leider ist die Umstellung auf ein moderneres und sichereres Authentifizierungssystem oft mit viel Arbeit und Ausfallzeiten verbunden, die sich Unternehmen einfach nicht leisten können. Dies bedeutet, dass Benutzer nie die Möglichkeit erhalten, die Zwei-Faktor-Authentifizierung zu verwenden. Dies sollte jedoch keine Entschuldigung für ihre schlechte Kontosicherheit sein.

Alex Weinert sagte in seiner Präsentation, dass Hacker das Sprühen von Passwörtern verwendeten, um in etwa 40% der kompromittierten Konten im Januar zu hacken. Bei einem Angriff zum Sprühen von Passwörtern verwenden die Cyberkriminellen eine relativ kurze Liste häufig verwendeter Passwörter und versuchen sie mit einer größeren Anzahl von Benutzernamen. Da viele Benutzer häufig verwendete, leicht zu erratende Kennwörter verwenden, sind die Angriffe häufig erfolgreich.

Weitere 40% der 1,2 Millionen Konten, in die im ersten Monat des Jahres eingebrochen wurde, fielen Opfer von Wiederholungsangriffen. Die Wiederholung von Verstößen ist anscheinend der Begriff von Microsoft für das Ausfüllen von Anmeldeinformationen - ein Angriff, bei dem Hacker Benutzernamen und Kennwörter verwenden, die von einem Onlinedienst gestohlen wurden, um Konten auf mehreren anderen Websites zu eröffnen. Die fahrlässige Haltung der Menschen gegenüber der Sicherheit ihrer Konten und ihre Tendenz, Passwörter wiederzuverwenden, machen den Angriff erneut sehr erfolgreich.

Theoretisch ist die Verhinderung von Kontenübernahmeangriffen in einem Unternehmensumfeld eine relativ einfache Aufgabe, aber tatsächlich spielen einige Faktoren eine Rolle. Die Entdeckung von Sicherheitslücken wirft Zweifel an der Effizienz von 2FA auf, was zusammen mit der Tatsache, dass die Funktion nicht in allen Unternehmenssystemen verfügbar ist, zu schlechten Akzeptanzzahlen führt.

Um den Stand der Dinge wirklich zu verbessern, müssen die Menschen erkennen, wie wichtig eine ordnungsgemäße Passwortverwaltung ist. Unternehmen und Dienstleister müssen alles tun, um sicherzustellen, dass die von 2FA bereitgestellte zusätzliche Sicherheit jederzeit verfügbar ist, und Benutzer sollten sich damit abfinden, dass diese einfache Funktion zwar kein Allheilmittel ist, aber häufig den Unterschied zwischen a ausmachen kann kompromittiertes Konto und ein sicheres.