Warum MFA nicht gleich MFA ist



  • Die Multi-Faktor-Authentifizierung (MFA) wurde entwickelt, um die Kompromittierung von Konten zu verhindern bzw. zu erschweren. Und obwohl viele Unternehmen gerade bei sensiblen Accounts mittlerweile mehrere Authentifizierungs­mechanismen verwenden, gelingt es Cyberkriminellen trotzdem immer noch recht häufig, sich Zugriff auf die Konten ihrer Opfer zu verschaffen.

    Klicken sie hier um den Artikel zu lesen



  • Auch wenn die Kernaussage natürlich richtig ist (MFA heißt nicht automatisch "100%ige Sicherheit"), so kann ich doch einigen Bereichen des Artikels nicht zustimmen:

    Abfangen des OTP:
    Ja, SMS und E-Mail sind sehr unsichere Medien. Es gibt aber nur noch wenige Implementierungen, die darauf setzen, sondern in der Regel werden TOTPs verwendet, die dann in Authenticator Apps stecken (ohnehin einfacher zu implementieren). Diese Codes "abzufangen" ist ungleich schwerer.
    Davon abgesehen ist das Ausprobieren einer Username-Passwort-Kombination aus einer Liste so viel einfacher als das aktive Abfangen von OTPs, dass selbst SMS sicherer ist als nur ein Passwort alleine (Thema "höherer Zaun als der Nachbar, deshalb wird der Kriminelle lieber beim Nachbarn einbrechen").

    Schwachstellen bei der Passwortwiederherstellung:
    Korrekt, wenn man per E-Mail seinen ganzen Account wiederherstellen kann, hebelt das MFA komplett aus. MFA aber deswegen nicht zu nutzen, weil ein Dienst da möglicherweise einen schlechten Prozess haben könnte (was ich auch nur sehr selten sehe), halte ich auch für einen schlechten Ansatz.

    Biometrie:
    Hier möchte ich gerne aus der anderen Seite argumentieren: Biometrie wird häufig per Fingerabdruck oder Gesichtserkennung gelöst. Gerade bei Android-Smartphones können deren Kameras technisch ein Foto von einem echten Gesicht kaum unterscheiden - und auch für Fingerabdrücke gibt es diverse Beispiele, wie mit dem berühmten Klebestreifen am Trinkglas der vermeintliche Schutz ausgehebelt wird.
    Viel schlimmer bei Biometrie finde ich allerdings, dass es eine begrenzte Ressource ist. Ist mein Passwort irgendwo im Internet verfügbar, dann setze ich eben ein neues. Ist mein Fingerabdruck verfügbar, habe ich im besten Fall genau 9 Versuche, um dagegen vorzugehen, danach ist dann dieser Faktor für alle Zeiten nicht mehr nutzbar.

    FIDO-Standards:
    Dass diese "einfach zu implementieren sein" hat gewisse Parallelen zu IPv6. Es ist richtig, wenn ich eine neue Anwendung entwickle und das auf dem Schirm habe, dann ist das realisierbar. Aber eine bestehende Anwendung von einer 1-User-1-Passwort-Struktur in eine 1-User-n-FIDO-Tokens zu bringen und den Anmeldeprozess zweistufig zu bauen, ist unglaublich komplex. Da bin ich dann froh, wenn der Anbieter mir wenigstens OTPs/TOTPs anbieten kann, denn deren Implementierung in bestehende Anwendungen ist in endlicher Zeit machbar.

    Was mir an dem Artikel nicht gefällt ist der (vielleicht unbeabsichtigte) Grundtenor, dass MFA ja gar keinen Sicherheitsgewinn bringen würde.
    Das mag gegenüber APT sein, aber jede Art von zweiter Faktor ist sicherer als nur ein einzelner und selbst wenn es nur SMS gibt, sollte man sie m.E. immer und überall nutzen.

    Beste Grüße
    C. Arlt


Log in to reply