Lösungen

Preise

Partner

Login

Kostenlose Beratung
Bildquelle: Foundry via Pixabay
21.06.2022

Zwei-Faktor-Authentisierung schützt – wirklich?!

Alltägliche Hinweise | Cybersicherheit |  Angriffsverktoren

Die Zwei- oder Multi-Faktor-Authentisierung ist der Sicherheitsgurt der Cybersicherheit. Bei richtiger Anwendung können Cyberrisiken verringert werden, sie schützt jedoch nicht vor dem eigenen fahrlässigen Verhalten. Wir erklären, wie die Zwei-Faktor-Authentisierung funktioniert, wann es sich lohnt, sie zu verwenden und wo ihre Grenzen liegen.

 

Wie schützt die Zwei-Faktor-Authentisierung?

Bei der Zwei-Faktor-Authentisierung handelt es sich um eine mehrstufige Überprüfung der Identität für Benutzerkonten, bestehend aus zwei Faktoren: beispielsweise einem Passwort und einem weiteren Faktor, wie einem biometrischen Merkmal – z. B. Fingerabdruck bzw. Gesichtserkennung – oder einer getrennt erstellten PIN.  Beim Einloggen wird letztere separat versendet, entweder als SMS oder in einer Sicherheits-App auf dem Smartphone, und muss zusätzlich zum Passwort eingegeben werden. Durch die Nutzung eines solchen weiteren Faktors wird die Passwortsicherheit stark erhöht. Kombiniert man mehr als zwei Faktoren, spricht man von der Multi-Faktor-Authentisierung.

 

Warum verwenden wir überhaupt die Zwei-Faktor-Authentisierung?

Die alleinige Eingabe des Passworts ist heute nicht mehr sicher genug. Passwörter können leicht in die falschen Hände geraten – beispielsweise durch die Kompromittierung der Login-Daten bei Cyberangriffen. Hier greift der größte Vorteil der Zwei-Faktor-Authentisierung: Durch die Aufnahme eines weiteren Faktors in den Authentisierungsprozess wird eine zusätzliche Barriere geschaffen, die im Falle einer Cyberattacke Gold wert ist. Cyberkriminelle müssten auch im Besitz des zweiten Faktors sein, um in ein System eindringen zu können. Je mehr Schritte unternommen werden müssen, desto schwieriger ist es für kriminelle Hacker, sich der Login-Daten zu bemächtigen. Mit der Zwei-Faktor- Authentisierung können viele Bedrohungsszenarien – vor allem in Bezug auf Identitätsdiebstahl – ausgeschlossen werden.

 

Welche sind die häufigsten Formen der Zwei-Faktor-Authentisierung?

  • SMS Token: Diese Variante ist die bekannteste Art der Zwei-Faktor-Authentisierung. Dabei wird bei der Anmeldung beim jeweiligen Online-Dienst ein zufälliger Code generiert und per SMS an das Smartphone des Benutzers versendet.
  • E-Mail: Auch die Authentisierung per E-Mail wird häufig verwendet: Im Zuge der Anmeldung bei einem Online-Dienst wird nach der Eingabe des Benutzernamens und des Passworts vom jeweiligen Anbieter ein mehrstelliger Code per E-Mail versendet. Die Authentisierung per E-Mail ist besonders beliebt, da keine zusätzliche Hard- oder Software nötig ist.
  • TAN / OTP: Mit der TAN (Transaktionsnummer) oder dem OTP (One-Time-Password) wird ein einmaliger Zahlencode bzw. ein einmaliges Kennwort als zweiter Faktor an den User übermittelt – entweder über Hardware in Form eines TAN-Generators oder als Software über eine Authenticator-App. Die Kennwörter sind zeit- oder ereignisbasiert und werden immer wieder neu generiert. Hier gelten die Hardware-basierten Autentisierungsvarianten derzeit als die sichersten.
  • Smartcards: Smartcards werden in hochsicheren Windows-Umgebungen verwendet und können für den Login im Windows Konto, einem Firmen-VPN oder auch für E-Mail Signaturen bzw. eine Festplattenverschlüsselung genutzt werden. Die Smartcard hat die Größe einer Kreditkarte und ist mit einem Chip ausgestattet, der ein digitales, verschlüsseltes Zertifikat speichert, das nur durch eine PIN freigeschaltet werden kann. Auch hier gilt der physikalische Faktor als besonderer Zugewinn in Sachen Passwortsicherheit.
  • Biometrische Authentisierung: Bei dieser Variante werden biometrische Merkmale wie der Fingerabdruck oder das Gesicht in den Authentisierungsprozess miteinbezogen. Das ist einfach, schnell und gilt aufgrund der Eindeutigkeit der Daten als sehr sicher. Für Bedrohungsakteure aus dem Netz ist es schwieriger, den Fingerabdruck oder den Gesichtserkennungsscan einer Person zu replizieren.
  • Kryptografisches Token: Das kryptografische Token speichert einen privaten kryptografischen Schlüssel. Die Authentifizierung erfolgt in diesem Fall, indem eine Anforderung an das Token gesendet wird.

 

Wo die Zwei-Faktor-Authentisierung sich besonders lohnt

Bereits seit dem 15. März 2021 besteht bei Bezahlvorgängen im Netz via Online-Banking, Kreditkarte oder PayPal die Pflicht zur Verwendung der Zwei-Faktor-AuthentisierungGoogle hat sie Ende 2021 für sämtliche Accounts seiner Dienste eingeführt und es ist zu erwarten, dass auch weitere Unternehmen nachziehen werden. Mit Blick auf die Passwortsicherheit rät Perseus, die Zwei- oder Multi-Faktor-Authentisierung überall dort anzuwenden, wo sie möglich ist, z. B.:

  • Bei der Identifikation von Social Media-, Cloud- oder Benutzerkonten: Verwenden Sie hierfür eine Authenticator-App zur Generierung einmaliger Passwörter, zum Beispiel von GoogleMicrosoftApple oder die Zusendung der TAN per SMS.
  • Bei der Online-Funktion des Personalausweises: Der neue Personalausweis ist mit einem Chip ausgestattet und kann somit auch online für Behördengänge, zur Legitimationsprüfung bei Finanzdienstleistern oder für geschäftliche Angelegenheiten verwendet werden. Neben der Authentisierung über eine PIN findet eine zusätzliche Ende-zu-Ende verschlüsselte Authentisierung mit dem jeweiligen Dienstleister statt.
  • Bei Steuerangelegenheiten: Das Online-Finanzamt ELSTER ermöglicht es, Finanzangelegenheiten komplett papierlos zu klären. Eine Anmeldung ist nur mit einem passwortgeschützten Software-Zertifikat oder der Online-Ausweisfunktion möglich.

 

Grenzen der Zwei-Faktor-Authentisierung

Im Arbeitsalltag, wenn es oft schnell gehen muss und viele Dinge keine Zeit bleibt, kann die Zwei-Faktor-Authentisierung als zusätzlicher Klotz am Bein wahrgenommen werden. Dabei kann sie enormen Schaden abwenden. Unternehmen sollten sich über die Vorteile im Klaren sein, sich hinsichtlich der unterschiedlichen Möglichkeiten bei der Zwei-Faktor-Authentisierung informieren und sich für die passende Variante entscheiden. Die Nutzung – sowohl in welcher Form als auch in welchem Umfang – sollte per Richtlinie im Unternehmen vorgegeben bzw. alle Mitarbeitenden entsprechend informiert und geschult werden. Am Ende geht es um wichtige Daten Ihres Unternehmens.

Auch wenn die Zwei-Faktor-Authentisierung für die Steigerung der Sicherheit bei vielen Anwendungen empfehlenswert ist, kann auch sie nicht jeden Zwischenfall verhindern:

  • Die beliebteste Variante ist auch gleichzeitig die anfälligste: Der SMS-Token kann über sogenannte Swap-Angriffe abgegriffen werden, wenn es Cyberkriminellen gelingt, den Mobilfunkanbieter zu überlisten und die Telefonnummer des Opfers auf eine SIM-Karte zu portieren.
  • Wird das E-Mail-Konto von Bedrohungsakteuren aus dem Netz übernommen, kann ein 2-Faktor-Code ohne größere Anstrengung ausgelesen werden. Auch handelt es sich bei dieser Variante der Authentisierung eigentlich um keine Zwei-Faktor-Authentisierung, da viele User ihre E-Mails sowohl vom Smartphone als auch vom Rechner aus bearbeiten. Ist ein Gerät mit Malware infiziert, können die Angreifer jede E-Mail mitlesen und die Codes entsprechend abgreifen.
  • Bei der TAN bzw. dem One-Time-Password stellt Phishing das größte Problem dar. Es ist möglich, eine täuschend echte Phishing-Website zu erstellen, die Anmeldedaten wie Passwort und den von einer Authentifizierungs-App generierten Code weitergibt, um sich beim echten Dienst anzumelden. Gleichzeitig melden sich Cyberkriminelle selbst an und können sich als die kompromittierte Person ausgeben, ohne dass der genutzte Dienst den Unterschied bemerkt. Ein weiterer Nachteil der Authenticator-Apps besteht darin, dass es möglicherweise nicht einfach ist, die benötigten Codes zu erhalten, wenn Sie Ihr Telefon verlieren.

Einen 100 %igen Schutz gibt es nicht – aber Möglichkeiten, das Risiko zu minimieren. Vor allem verantwortungsvolles Verhalten und die Einhaltung von Sicherheitsbestimmungen jeder und jedes Einzelnen sind die Grundvoraussetzung für die Vermeidung von Cybervorfällen:

  • Updates: Oftmals sind eine veraltete Software, unlizensierte Programme von kostenlosen Download-Seiten oder willkürlich geklickte Links oder besuchte Webseiten, die Ursache für einen Cybervorfall. Ein solches Online-Verhalten, ist das Cyber-Äquivalent zu einer Autofahrt auf einer Klippe mit 200km/h: Ein angelegter Anschnallgurt bzw. die Zwei-Faktor-Authentisierung wird am Ende auch nicht helfen können. Die Installation neuer Updates, insbesondere von Sicherheits-Updates für Betriebssysteme oder der Einsatz sicherer Passwörter, sind bereits ein erster Schritt, Cybervorfälle zu vermeiden.
  • Passworthygiene: Je unwahrscheinlicher es ist, dass Ihr Passwort erraten oder errechnet werden kann, desto sicherer ist es. Und je sicherer Ihr Passwort ist, desto sicherer sind die von ihm geschützten Daten, E-Mails, Rechner, Unternehmensnetzwerke usw. Die Passwortsicherheit wird durch mehrere Faktoren beeinflusst. Unter anderem durch die Einmaligkeit, Länge, Komplexität, Abstraktion und Geheimhaltung des jeweiligen Passworts.
  • Backups: Festplatten, Rechner, Server und ganze Systeme können durch technische Defekte oder aber durch Cyberangriffe, wie der Installation von Malware, unbrauchbar gemacht werden. Mit Backups erstellen Sie Sicherheitskopien Ihrer Daten. Durch diese können verlorene oder zerstörte Inhalte und sogar ganze Systeme wiederhergestellt werden. Mehr dazu erfahren Sie in unserem Blogbeitrag “Kein Backup – kein Mitleid”.
  • Wachsamkeit: Schärfen Sie Ihren kritischen Blick auf E-Mails mit unbekannten Absendern. Hier sollten keine Links angeklickt oder Anhänge geöffnet werden. Der Klick auf den Link einer Phishing-E-Mail ist eines der häufigsten Einstiegstore für Cyberkriminelle.
  • Sensibilisierung für Mitarbeitende: Sensibilisieren Sie Ihre Mitarbeitenden für die Gefahren aus dem Netz. Cyberangriffe gehören zu den größten Geschäftsrisiken überhaupt. Entsprechende Trainings in Form von E-Learnings und Phishing-Simulationen vermitteln grundlegendes Wissen und erhöhen nachhaltig das Bewusstsein.

 

Erst wenn solche grundlegenden Sicherheitsregeln befolgt werden, kann auch eine Zwei-Faktor-Authentisierung wirksam greifen und bei richtigem Einsatz Konten und Daten vor unbefugten Zugriffen schützen.  Die Zwei-Faktor-Authentisierung ist ein wichtiges Sicherheitsinstrument, das einen effektiven Schutz vor unerlaubten Zugriffen auf die eigenen Daten bietet und Teil einer umfassenden Cybersicherheitsstrategie sein sollte. Wer sie nutzt, ist auf der sicheren Seite – ohne wenn und aber.

21.06.2022

Two-factor authentication protects – really?!

Everyday tips | Cybersecurity | Attack vectors

Two-factor or multi-factor authentication is the seatbelt of cybersecurity. When used correctly, it can reduce cyber risks, but it does not protect against your own negligent behaviour. We explain how two-factor authentication works, when it is worth using and where its limitations lie.

 

How does two-factor authentication protect you?

Two-factor authentication is a multi-step identity verification process for user accounts consisting of two factors: for example, a password and another factor such as a biometric feature (e.g. fingerprint or facial recognition) or a separately generated PIN. When logging in, the latter is sent separately, either as an SMS or in a security app on the smartphone, and must be entered in addition to the password. The use of such an additional factor greatly increases password security. If more than two factors are combined, this is referred to as multi-factor authentication.

 

Why do we use two-factor authentication at all?

Entering a password alone is no longer secure enough today. Passwords can easily fall into the wrong hands – for example, through the compromise of login data in cyber attacks. This is where the biggest advantage of two-factor authentication comes into play: by adding another factor to the authentication process, an additional barrier is created that is worth its weight in gold in the event of a cyber attack. Cybercriminals would also need to be in possession of the second factor to be able to penetrate a system. The more steps that need to be taken, the more difficult it is for criminal hackers to obtain login data. With two-factor authentication, many threat scenarios – especially those related to identity theft – can be ruled out.

 

What are the most common forms of two-factor authentication?

  • SMS tokens: This is the best-known type of two-factor authentication. When logging in to the respective online service, a random code is generated and sent to the user’s smartphone via SMS.
  • Email: Authentication by email is also frequently used: when logging into an online service, after entering the user name and password, the respective provider sends a multi-digit code by email. Authentication by email is particularly popular because no additional hardware or software is required.
  • TAN / OTP: With TAN (transaction number) or OTP (one-time password), a unique numerical code or password is sent to the user as a second factor – either via hardware in the form of a TAN generator or as software via an authenticator app. The passwords are time- or event-based and are regenerated repeatedly. Hardware-based authentication methods are currently considered the most secure.
  • Smartcards: Smartcards are used in highly secure Windows environments and can be used to log in to Windows accounts, company VPNs, or for email signatures and hard drive encryption. The smartcard is the size of a credit card and is equipped with a chip that stores a digital, encrypted certificate that can only be unlocked with a PIN. Here, too, the physical factor is considered a particular advantage in terms of password security.
  • Biometric authentication: This variant incorporates biometric features such as fingerprints or facial recognition into the authentication process. It is simple, fast and considered very secure due to the uniqueness of the data. It is more difficult for cyber attackers to replicate a person’s fingerprint or facial recognition scan.
  • Cryptographic token: The cryptographic token stores a private cryptographic key. In this case, authentication takes place by sending a request to the token.

 

Where two-factor authentication is particularly worthwhile

Since 15 March 2021, the use of two-factor authentication has been mandatory for online payments via online banking, credit card or PayPal. Google introduced it for all accounts on its services at the end of 2021, and other companies are expected to follow suit. With regard to password security, Perseus recommends using two-factor or multi-factor authentication wherever possible, e.g.:

  • When identifying social media, cloud or user accounts: Use an authenticator app to generate one-time passwords, for example from Google, Microsoft, Apple, or have the TAN sent by SMS.
  • When using the online function of your identity card: The new identity card is equipped with a chip and can therefore also be used online for administrative procedures, for identity verification with financial service providers or for business matters. In addition to authentication via a PIN, additional end-to-end encrypted authentication takes place with the respective service provider.
  • For tax matters: The ELSTER online tax office allows you to handle your financial affairs completely paperless. Registration is only possible with a password-protected software certificate or the online ID function.

 

Limitations of two-factor authentication

In everyday working life, when things often have to be done quickly and there is little time to spare, two-factor authentication can be perceived as an additional burden. However, it can prevent enormous damage. Companies should be aware of the advantages, inform themselves about the various options for two-factor authentication and decide on the most suitable variant. Its use – both in terms of form and scope – should be specified in company guidelines, and all employees should be informed and trained accordingly. Ultimately, it’s about your company’s important data.

Even though two-factor authentication is recommended for increasing security in many applications, it cannot prevent every incident:

  • The most popular option is also the most vulnerable: the SMS token can be intercepted via so-called swap attacks if cybercriminals manage to outsmart the mobile phone provider and port the victim’s phone number to a SIM card.
  • If the email account is taken over by threat actors from the network, a two-factor code can be read without much effort. This type of authentication is not actually two-factor authentication, as many users access their emails from both their smartphones and their computers. If a device is infected with malware, attackers can read every email and capture the codes.
  • Phishing is the biggest problem with TANs and one-time passwords. It is possible to create a deceptively genuine phishing website that passes on login details such as passwords and the code generated by an authentication app in order to log in to the real service. At the same time, cybercriminals log in themselves and can impersonate the compromised person without the service used noticing the difference. Another disadvantage of authenticator apps is that it may not be easy to obtain the required codes if you lose your phone.

 

There is no such thing as 100% protection – but there are ways to minimise the risk. Above all, responsible behaviour and compliance with security regulations by each and every individual are the basic prerequisites for preventing cyber incidents:

  • Updates: Outdated software, unlicensed programmes from free download sites, or randomly clicked links or visited websites are often the cause of cyber incidents. Such online behaviour is the cyber equivalent of driving a car at 200 km/h on a cliff edge: Even wearing a seatbelt or using two-factor authentication will not help in the end. Installing new updates, especially security updates for operating systems, and using secure passwords are already a first step towards preventing cyber incidents.
  • Password hygiene: The less likely it is that your password can be guessed or calculated, the more secure it is. And the more secure your password is, the more secure the data, emails, computers, company networks, etc. it protects are. Password security is influenced by several factors. These include the uniqueness, length, complexity, abstraction and secrecy of the password in question.
  • Backups: Hard drives, computers, servers and entire systems can be rendered unusable by technical defects or cyber attacks, such as the installation of malware. Backups allow you to create security copies of your data. These can be used to restore lost or destroyed content and even entire systems. You can find out more about this in our blog post ‘No backup – no mercy’.
  • Vigilance: Sharpen your critical eye for emails from unknown senders. Do not click on any links or open any attachments. Clicking on a link in a phishing email is one of the most common entry points for cybercriminals.
  • Employee awareness: Make your employees aware of the dangers of the internet. Cyber attacks are among the greatest business risks there are. Appropriate training in the form of e-learning courses and phishing simulations impart basic knowledge and raise awareness in the long term.

 

Only when such basic security rules are followed can two-factor authentication be effective and, when used correctly, protect accounts and data from unauthorised access. Two-factor authentication is an important security tool that provides effective protection against unauthorised access to your data and should be part of a comprehensive cyber security strategy. Those who use it are on the safe side – no ifs, ands, or buts.

Lösungen
Produkte:
Prävention
Risikobewertung
Notfallhilfe
Preise
Partner
Login
Kostenlose Beratung