Welche Zwei-Faktor-Authentifizierungsoption ist die beste?
Auf den ersten Blick ist die Zwei-Faktor-Authentifizierung (2FA) eine rücksichtslos einfache und unglaublich effektive Sicherheitsfunktion. Im Wesentlichen stellen Sie durch die Implementierung der Zwei-Faktor-Authentifizierung sicher, dass ein Angreifer das Konto eines Opfers nicht nur mit einem Benutzernamen und einem Kennwort übernehmen kann. Während des Authentifizierungsprozesses gibt es einen zusätzlichen Schritt, ohne den kein Zugriff gewährt wird. So weit, so einfach. Hier wird es jedoch immer komplizierter.
Die meisten 2FA-Systeme basieren auf einem zweiten temporären Kennwort (häufig als Einmalkennwort oder OTP bezeichnet), das der Benutzer eingeben muss, um sein Konto zu entsperren. In anderen Fällen erfordert die Anmeldung ein Hardwaregerät oder Token, das als Nachweis dafür dient, dass der Benutzer zum Zugriff auf das Konto berechtigt ist. Es gibt viele Diskussionen darüber, welche Option die bessere ist - ein Hardware-Token oder ein OTP. Die Frage, welches das beste Hardware-Token ist, wurde ebenfalls erörtert, und das Gleiche gilt für die verschiedenen Möglichkeiten, wie OTP-basierte 2FA-Systeme implementiert werden können. Mit anderen Worten, für viele hat 2FA mehr Fragen aufgeworfen als beantwortet.
Table of Contents
Die OTP-Diskussion
Ein OTP ist ein ziemlich robuster zweiter Faktor, der jedoch korrekt implementiert werden muss. Wenn OTPs funktionieren sollen, müssen sie eindeutig und zufällig sein. Wenn die Hacker in der Lage sind, den Algorithmus hinter dem Mechanismus zur Erstellung von OTPs herauszufinden, können sie das gesamte 2FA-System schlagen. Sie können sich möglicherweise auch darum herumarbeiten, wenn sie genug Zeit haben, um das OTP zu erraten. Aus Gründen der Benutzerfreundlichkeit sind OTPs häufig 4- oder 6-stellige Codes, die relativ einfach erraten werden können. Deshalb ist es wichtig sicherzustellen, dass sie nach einer angemessenen Zeit ablaufen. Natürlich können angemessene Ratenlimits auch Angreifer davon abhalten, sich brutal durchzusetzen.
Man kann mit Recht sagen, dass die meisten Entwickler und Systemadministratoren, die sich für OTP-basiertes 2FA entschieden haben, diese Regeln einhalten und Angriffe dieser Art nicht so häufig sind. Bei der Versandart für OTPs sieht es jedoch ganz anders aus.
Es gibt verschiedene Möglichkeiten, wie Sie dem Benutzer ein OTP bereitstellen können. Sie können dies per E-Mail, SMS oder einer Authentifizierungs-App auf ihrem Smartphone tun. Viele Leute haben ihre Coolness verloren, weil einige dieser Medien unsicher sind. Wir haben in der Vergangenheit beispielsweise die Technologie hinter Textnachrichten diskutiert , die ziemlich alt ist und theoretisch dazu führen kann, dass Hacker OTPs abfangen und 2FA umgehen. Seit einiger Zeit werden E-Mails auch als viel zu unsicher verurteilt, um vertrauliche Informationen wie 2FA-OTPs zu übertragen.
Tatsache ist, dass der beste Weg, um sicherzustellen, dass OTPs während der Übertragung nicht abgefangen werden können, darin besteht, sie überhaupt nicht zu übertragen. Aus diesem Grund gelten mobile 2FA-Anwendungen wie Google Authenticator als die beste Option für OTP-basierte Zwei-Faktor-Authentifizierungssysteme, für die kein zusätzliches Hardware-Token erforderlich ist. Das Problem mit diesen Apps ist jedoch, dass Benutzer, die kein Smartphone haben, diese nicht verwenden können.
Sind Hardware-Token die Lösung?
Die Idee von 2FA-Apps basiert auf Hardware-Token, die auch komplexe kryptografische Funktionen verwenden, um OTPs vor Ort zu erstellen. Bekannt als RSA SecurID, sind sie ungefähr so groß wie ein Schlüsselanhänger und haben ein kleines monochromes LCD-Display, das das aktuelle OTP anzeigt. Sie können dies als Lösung betrachten, insbesondere wenn einige Ihrer potenziellen Benutzer kein Smartphone haben, aber es gibt noch eine Sache zu beachten. Die inhärente Sicherheitsanfälligkeit von Einmalkennwörtern besteht darin, dass sie genau wie normale Kennwörter gefälscht werden können.
Aus diesem Grund verlassen sich Sicherheitsexperten laut Sicherheitsexperten auf U2F-Schlüssel - Hardware-Token, die anstelle der Generierung und Anzeige von OTPs direkt mit Ihrem Computer oder Mobilgerät kommunizieren und Sie automatisch authentifizieren. Sie sind klein genug, um an einem Schlüsselring herumgetragen zu werden, sie haben keinen Akku und die drahtlose Technologie, auf die sich einige von ihnen verlassen, bedeutet, dass die Authentifizierung häufig sofort erfolgt. Da der Benutzer kein OTP eingeben muss, wird dies als die beste Methode in Bezug auf Benutzerfreundlichkeit und Sicherheit angesehen. Es ist jedoch immer noch nicht perfekt.
Im Gegensatz zu 2FA-Apps, E-Mails und in den meisten Fällen Textnachrichten sind U2F-Schlüssel nicht kostenlos. Die Investition ist nicht enorm, aber die traurige Tatsache ist, dass die meisten Benutzer nicht besonders daran interessiert sind, für Sicherheit zu bezahlen, und selbst ein angemessener Preis kann für sie ein Hindernis genug sein. Offensichtlich besteht auch das Problem, die kleinen Token zu verlieren.
Wie wähle ich die am besten geeignete 2FA-Implementierung für Ihren Service aus?
Alles in allem gibt es kein "perfektes 2FA". Einige Implementierungen sind sicherer als andere, aber alle haben ihre eigenen Probleme. Wenn Sie also einen Onlinedienst ausführen, müssen Sie anhand Ihrer Benutzer und ihrer Anforderungen entscheiden, welche Art von 2FA Sie implementieren möchten. und ihre Bedrohungsmodelle. Für zusätzliche Flexibilität lassen die meisten Dienstanbieter die Benutzer aus einer Liste verschiedener Optionen auswählen, welche 2FA-Implementierung sie verwenden möchten. Dies ist möglicherweise der vernünftigste Ansatz, wenn man bedenkt, wie vielfältig die Benutzerbasis sein kann.
Vergessen Sie jedoch nicht eines - selbst das unsicherste 2FA ist besser als kein 2FA.
