2FA verwenden? Groß. Aber es ist nicht unfehlbar

0
23
Shutterstock/BestForBest

Sie sollten die Zwei-Faktor-Authentifizierung verwenden, wo immer sie verfügbar ist. Es ist nicht perfekt, aber es stoppt die meisten Angreifer. Aber lassen Sie sich nicht täuschen, dass es uneinnehmbar ist. Das ist nicht der Fall.

Das Passwortproblem

Das Passwort ist seit den 1950er Jahren das wichtigste Mittel zur Sicherung von Computerkonten. Ungefähr 70 Jahre später werden wir alle mit Passwörtern überschwemmt, hauptsächlich für Online-Dienste. Aus Neugier habe ich meinen Passwort-Manager überprüft. Ich habe 220 Sätze von Anmeldeinformationen darin gespeichert.

Wenn Sie nicht besonders begabt sind, können Sie sich diese Anzahl komplexer und zuverlässiger Passwörter nicht merken. Aus diesem Grund verwenden Menschen Passwörter wieder und verwenden schwache, aber leicht zu merkende Passwörter. Das ist natürlich die Art von Verhalten, die Ihre Konten gefährdet.

Automatisierte Brute-Force-Angriffe, Wörterbuchangriffe und andere Nachschlageangriffe verwenden Wortlisten und Datenbanken mit gehackten Passwörtern, um unbefugten Zugriff auf die Konten von Personen zu erlangen. Bei Datenschutzverletzungen werden die Daten im Darknet zur Nutzung durch Cyberkriminelle bereitgestellt. Sie verwenden die Datenbanken der geknackten Passwörter als Munition für ihre Software. Es greift die gestohlenen Zugangsdaten mit Maschinengewehren in Konten ein und versucht, die Passwörter abzugleichen und Zugang zu erhalten.

Die Website “Have I Been Pwned” sammelt die Daten von so vielen Datenschutzverletzungen wie möglich. Sie können die Website frei besuchen, um zu überprüfen, ob Ihre E-Mail-Adresse oder eines Ihrer Passwörter bei einem Verstoß preisgegeben wurde. Um Ihnen eine Vorstellung vom Ausmaß des Problems zu geben, gibt es in ihren Datenbanken über 11 Milliarden Sätze von Anmeldeinformationen.

Bei so vielen Passwörtern besteht eine hohe Wahrscheinlichkeit, dass jemand anderes dasselbe Passwort wie Sie gewählt hat. Selbst wenn keine Ihrer Daten jemals bei einer Sicherheitsverletzung preisgegeben wurde, könnten die Daten einer anderen Person, die zufällig dasselbe Passwort wie Sie verwendet hat, verwendet werden. Und wenn Sie dasselbe Passwort für viele verschiedene Konten verwendet haben, gefährdet dies alle.

VERWANDTE: So überprüfen Sie, ob E-Mails von Mitarbeitern auf Datenschutzverletzungen beruhen< /strong>

Passwortrichtlinien

Alle Organisationen sollten über eine Kennwortrichtlinie verfügen, die Anleitungen zur Erstellung und Verwendung von Kennwörtern enthält. Beispielsweise muss die Mindestlänge eines Passworts definiert werden und die Regeln für die Zusammensetzung eines Passworts sollten für alle Mitarbeiter klar verständlich und befolgt werden. Ihre Richtlinie muss die Wiederverwendung von Passwörtern für andere Konten und die Grundlage von Passwörtern auf Haustier- oder Familienmitgliedern verbieten’ Namen, Jahrestage und Geburtstage.

Das Problem, das Sie haben, ist, wie Sie es überwachen? Woher wissen Sie, ob das Personal diese Regeln einhält? Sie können auf vielen Systemen Regeln für minimale Komplexität festlegen, sodass sie automatisch zu kurze Passwörter ablehnen, die keine Zahlen und Symbole enthalten oder Wörter aus dem Wörterbuch sind. Das hilft. Aber was ist, wenn jemand das Passwort eines seiner Unternehmenskonten als Amazon- oder Twitter-Passwort verwendet? Sie können es nicht wissen.

Die Verwendung der Zwei-Faktor-Authentifizierung verbessert die Sicherheit Ihrer Unternehmenskonten und bietet auch einen gewissen Schutz vor schlechter Passwortverwaltung.

VERWANDTE:< /strong> Das Problem mit Passwörtern sind Menschen

Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierung fügt passwortgeschützten Konten eine weitere Schutzebene hinzu. Zusammen mit Ihrer ID und Ihrem Passwort benötigen Sie Zugriff auf ein registriertes, physisches Objekt. Dies sind entweder Hardware-Dongles oder Smartphones, auf denen eine zugelassene Authentifizierungs-App ausgeführt wird.

Ein einmaliger Code wird von der Authenticator-App auf dem Smartphone generiert. Sie müssen diesen Code zusammen mit Ihrem Passwort eingeben, wenn Sie sich in das Konto einloggen. Dongles können an einen USB-Port angeschlossen werden oder Bluetooth verwenden. Sie zeigen entweder einen Code an oder generieren und übertragen einen Schlüssel basierend auf einem geheimen internen Wert.

Die Zwei-Faktor-Authentifizierung kombiniert Dinge, die Sie kennen (Ihre Zugangsdaten) mit Ihrem Besitz (Ihrem Smartphone oder Dongle). Selbst wenn jemand Ihr Passwort errät oder brutal erzwingt, kann er sich immer noch nicht in das Konto einloggen.

VERWANDTE: SMS-Zwei-Faktor-Authentifizierung ist nicht perfekt, aber Sie sollten es trotzdem verwenden

Kompromittierung der Zwei-Faktor-Authentifizierung

Es gibt mehrere Möglichkeiten für einen Angreifer, die Zwei-Faktor-Authentifizierung zu umgehen und Zugang zu einem geschützten Konto zu erhalten. Einige dieser Techniken erfordern erstklassige technische Fähigkeiten und erhebliche Ressourcen. Beispielsweise werden Angriffe, die Sicherheitslücken im Signaling System No. 7 Protocol (SS7) ausnutzen, in der Regel von gut ausgestatteten und hochqualifizierten Hackergruppen oder staatlich gesponserten Angreifern durchgeführt. SS7 wird verwendet, um telefoniebasierte Kommunikation aufzubauen und zu trennen, einschließlich SMS-Textnachrichten.

Um die Aufmerksamkeit dieser Art von Bedrohungsakteuren auf sich zu ziehen, müssen die Ziele sehr hochwertig sein. “Hochwertig” bedeutet für verschiedene Angreifer unterschiedliche Dinge. Die Auszahlung kann nicht einfach finanziell erfolgen, der Angriff kann zum Beispiel politisch motiviert sein oder Teil einer Wirtschaftsspionagekampagne sein.

Bei einem “Port-Out-Betrug” die Cyberkriminellen kontaktieren Ihren Mobilfunkanbieter und geben sich als Sie aus. Hinreichend geübte Bedrohungsakteure können den Vertreter davon überzeugen, dass sie der Eigentümer Ihres Kontos sind. Sie können dann Ihre Smartphone-Nummer auf ein anderes Smartphone übertragen lassen, auf das sie Zugriff haben. Alle SMS-basierten Mitteilungen werden an ihr Smartphone gesendet, nicht an Ihres. Das bedeutet, dass alle SMS-basierten Zwei-Faktor-Authentifizierungscodes an die Cyberkriminellen geliefert werden.

Die Verwendung von Social Engineering-Techniken, um die Mitarbeiter von Mobilfunkanbietern zu beeinflussen, ist nicht einfach. Eine insgesamt einfachere Methode ist die Verwendung eines Online-Textnachrichtendienstes für Unternehmen. Diese werden von Organisationen verwendet, um SMS-Erinnerungen, Kontobenachrichtigungen und Marketingkampagnen zu senden. Sie sind auch sehr günstig. Für etwa 15 $ können Sie einen Dienst finden, der einen Monat lang den gesamten SMS-Verkehr von einer Smartphone-Nummer zur anderen weiterleitet.

Natürlich sollten Sie beide Smartphones besitzen oder die Erlaubnis des Besitzers haben, aber das ist für Cyberkriminelle kein Problem. Auf die Frage, ob dies der Fall ist, müssen sie nur “Ja” Es gibt keine weitere Überprüfung. Keine Fähigkeiten der Angreifer erforderlich, und dennoch ist Ihr Smartphone kompromittiert.

Diese Angriffsarten konzentrieren sich alle auf die SMS-basierte Zwei-Faktor-Authentifizierung. Es gibt auch Angriffe, die die App-basierte Zwei-Faktor-Authentifizierung ebenso leicht umgehen. Die Bedrohungsakteure können eine E-Mail-Phishing-Kampagne starten oder Tippfehler verwenden, um die Leute auf eine überzeugende, aber betrügerische Anmeldeseite zu lenken.

Wenn ein Opfer versucht, sich anzumelden, wird es nach seiner ID und seinem Passwort sowie nach seinem Zwei-Faktor-Authentifizierungscode gefragt. Sobald sie ihren Authentifizierungscode eingeben, werden diese Anmeldeinformationen automatisch an die Anmeldeseite der echten Website weitergeleitet und für den Zugriff auf das Konto des Opfers verwendet.

Don’ t Hör auf, sie zu benutzen!

Die Zwei-Faktor-Authentifizierung kann durch eine Reihe von Techniken überwunden werden, die von technisch anspruchsvoll bis vergleichsweise einfach reichen. Trotzdem ist die Zwei-Faktor-Authentifizierung immer noch eine empfohlene Sicherheitsmaßnahme und sollte überall dort eingesetzt werden, wo sie angeboten wird. Selbst bei diesen Angriffen ist die Zwei-Faktor-Authentifizierung um eine Größenordnung sicherer als ein einfaches ID- und Passwort-Schema.

Cyberkriminelle werden wahrscheinlich nicht versuchen, Ihre Zwei-Faktor-Authentifizierung zu umgehen, es sei denn, Sie &#8217 ;ein hochwertiges, hochkarätiges oder anderweitig strategisches Ziel sind. Verwenden Sie also weiterhin die Zwei-Faktor-Authentifizierung, es ist viel sicherer, als sie nicht zu verwenden.