SMS Passcode: Fehler bei der Authentifizierung vermeiden

Zugegeben: Die teilweise trivialen "Tipps & Tricks", mit denen IT-Firmen Fachleute und Fachjournalisten, haben sich zu einer Landplage entwickelt. Hier eine Ausnahme. Der dänische IT-Sicherheitsspezialist SMS Passcode hat einige Hinweise zusammengestellt, die im Zusammenhang mit der Authentifizierung durchaus hilfreich sind.

Laut SMS Passcode machen viele Unternehmen oft ähnliche Fehler, wenn sie Passwörter oder andere Authentifizierungsverfahren implementieren und einsetzen:

Vertrauen auf starke Passwörter: Diese bieten laut SMS Passcode keine ausreichende Sicherheit. Lange Passwörter mit Klein- und Großbuchstaben, Symbolen und Zahlen seien zwar durchaus nützlich, würden den Anwender jedoch in falscher Sicherheit wiegen. Mittlerweile sind Angreifer in der Lage, auch starke Passwörter zu knacken oder – noch einfacher – einfach zu stehlen.

Mitarbeiter zu komplexen Passwörtern und häufigem Wechsel der Passphrases zwingen: Gut gemeint, aber nicht praxisgerecht. Die Erfahrung lehrt, dass Mitarbeiter den einfachsten Weg gehen. Werden sie aufgefordert, ihr Passwort komplexer zu gestalten, wird aus dem Vornamen der Tochter ("Nathalie") eben eine "Nathalie!". Hacker wissen, dass Ausrufezeichen zu den beliebtesten Varianten gehören und stellen ihre Verfahren darauf ein.

Passwort-Suchtechniken von Hackern

Wenn Hacker die aktualisierte Version eines Passworts ermitteln wollen, testen sie beispielsweise folgende, typische Varianten durch:

• Großbuchstabe am Anfang eines Wortes,
• Zahlen am Anfang von Wörtern,
• Zahlen am Ende von Wörtern
• alle Varianten von Groß- und Kleinschreibung,
• Ersatz von oft benutzten Buchstaben wie "e" und "l" durch Zahlen wie "3" und "1",
• Satzzeichen am Ende von Wörtern,
• Verdopplung des ersten Buchstabens oder aller Buchstaben eines Wortes,
• Zusammenschreiben zweier Wörter und
• Satz- oder Leerzeichen zwischen zwei Wörtern.

Unterschätzung des Gefahrenpotenzials: Viele "normale" IT-User in Firmen sind der Auffassung, sie selbst seien für Hacker unwichtig. Falsch, denn zum einen suchen auch Cyber-Kriminelle nach einfachen Wegen, um in Firmennetze vorzudringen oder verwertbare Daten zu stehlen. Zum anderen werden gehackte Accounts als Angriffsplattform genutzt, um sich zu Servern oder Datenbanken im Firmennetz vorzuarbeiten, auf denen "lohnende'" Informationen gespeichert sind.

Zudem lassen sich solche Accounts nutzen, um von dort aus gezielte Phishing-Attacken zu starten, etwa mithilfe von E-Mails, die im Namen des Opfers an dessen Kollegen versendet werden. Solche Nachrichten können Schadcode enthalten, etwa versteckt in angehängten Dateien, oder den Empfänger zur Herausgabe von Passwörtern animieren ("Kannst Du mir schnell das Passwort für den Server mitteilen?")

Laut SMS Passcode sind vor allem Mittelständler von solchen Angriffen betroffen. Sie investieren üblicherweise zu wenig in IT-Sicherheit und werden seit 2013 immer häufiger zum Ziel von Angriffen, etwa mithilfe von Ransomware. Dies sind Schadprogramme, die Rechner oder Festplatten sperren oder verschlüsseln. Nur gegen Zahlung eines Lösegelds erhalten Betroffene den Entsperr-Code – wenn überhaupt.

Rolle von Hardware-Token

Zu starkes Vertrauen in Hardware-Token: SMS Passcode rät dazu, von solchen Lösungen die Finger zu lassen. Das werden die Anbieter von Hardware-Token natürlich anders sehen. Nach Angaben des dänischen Sicherheitsspezialisten läuft jedoch für Authentifizierungs­lösungen der ersten Generation wie Hardware-Token die Zeit ab. Die Gründe: Sie böten nicht annähernd das Maß an Sicherheit, das für die Abwehr aktueller Cyber-Bedrohungen nötig sei. Weitere Nachteile: die hohen Kosten und das aufwändige Management der Token.

Unterschätzung des Faktors Nutzerfreundlichkeit: Auf den Powerpoint-Folien von Herstellern von Authentifizierungslösungen sieht alles toll aus: ein Produkt, das sich vermeintlich einfach bedienen und managen lässt.

Im Alltag sieht es dann oft anders aus: Die Lösung versagt im echten Geschäftsalltag kläglich, weil sie einen zu hohen Bedienungsaufwand erfordert. Die Folge: Mitarbeiter und teilweise auch Administratoren sind frustriert oder suchen nach Möglichkeiten, um ohne Mehrfaktor-Authentifizierung zu arbeiten. So lassen sich Security-Policies nicht umsetzen.

Nicht jeder ist ein "Dümmster anzunehmender User"

Damit eng verknüpft ist ein weiterer Faktor: IT-Abteilungen unterschätzen die Mitarbeiter. Eine Multi-Faktor-Authentifizierung wird von IT-Verantwortlichen häufig als zu kompliziert für "Otto Normal-User" eingestuft. Erfahrungsgemäß werden in diesem Punkt Mitarbeiter von IT-Verantwortlichen oft falsch eingeschätzt. Denn im Privatbereich ist eine Zwei-Wege- und Multi-Faktor-Authentifizierung bereits häufig anzutreffen, etwa beim Online-Banking, wenn Nutzer von fremden Rechnern aus auf ihren Online-Bank-Account zugreifen wollen.

Auch Google, Facebook und Apple, Bezahldienste wie Paypal, Microsoft Outlook oder Online-Storage-Services wie Dropbox bieten mittlerweile ein Mehrfaktor-Verfahren an. Kein Wunder, werden doch immer mehr vertrauliche Informationen bei diesen Anbietern beziehungsweise deren Services gespeichert. Auch bei der Multi-Faktor-Authentifizierung im Geschäftsbereich ist wichtig, dass zusätzliche Sicherheitsebenen für die Mitarbeiter so bequem und stressfrei wie möglich zu bedienen sind.

Kontext-Informationen nutzen

Verfügbare kontextbezogene Informationen ungenutzt lassen: Dieser Punkt ist stark auf SMS Passcode bezogen. Denn das Unternehmen verwendet ein spezielles Verfahren, das Informationen wie Standort, verwendete Endgeräte, IP-Adresse, das Anmeldeverhalten des Anwenders und dergleichen berücksichtigt, wenn sich ein Nutzer authentifizieren will.

Auf Grundlage dieser Daten entscheidet die Lösung des Unternehmens, ob die aktuelle (IT-)Umgebung vertrauenswürdig ist, etwa das Büro oder ein WLAN auf dem Flughafen. Dem entsprechend wird für die Log-in-Vorgänge das passende Authentifizierungsverfahren gewählt.

Weitere Informationen

SMS Passcode hat einen Ratgeber erstellt (auf Englisch), der Schwachstellen von gängigen Authentifizierungsverfahren aufzeigt: How to Avoid the Hidden Dangers of "Good Enough" User Authentication. Das White Paper ist kostenlos verfügbar, allerdings nur gegen Preisgabe von Kontaktdaten.