Authentifizierung mit Einmalpasswörtern

Ist die neue OTP-Cloud-Backup-Funktion von Google Authenticator sicher?

Geschrieben von
Carla Nadin

April 26, 2023

Erfahren Sie mehr über das Produkt, Preise und Funktionen von AuthN by IDEE.

Fordern Sie noch heute eine kostenlose Demo an!

Inhaltsübersicht

Wir alle kennen Google Authenticator. Es ist eine App-basierte MFA, die "zeitbasierte Einmal-Passwörter" (TOTP) oder kurz OTP verwendet. Wenn ein Benutzer bereit ist, eine Anmeldung zu authentifizieren, stellt Google Authenticator dem Benutzer einen sechsstelligen Code zur Verfügung, um zu beweisen, wer er ist.

Die Authenticator-App ist jetzt etwa 13 Jahre alt und die Nutzer haben verzweifelt darauf gewartet, dass Google eine Backup- und Synchronisierungsfunktion hinzufügt, die nach Meinung vieler Kommentatoren schon seit einiger Zeit ganz oben auf der Wunschliste steht. Google schließt sich einer Liste anderer MFA-Anbieter an, die diese Funktion hinzufügen.

In diesem Artikel diskutieren wir die Herausforderungen, Gefahren und Fallstricke von Googles Backup- und Synchronisierungsstrategie und warum sie mit größeren Problemen verbunden ist.

Was ist ein OTP-Code?

Zunächst einmal sollten wir über OTP sprechen. Dabei handelt es sich um einen sechsstelligen Code, der von einer App oder einem Hardware-Gerät generiert wird und als zusätzlicher Schritt in einigen Multifaktor-Authentifizierungsverfahren verwendet wird. Ein OTP-Code ist in seiner Anwendung mit einem Passwort vergleichbar, aber im Gegensatz zu Passwörtern können OTPs nur einmal verwendet werden (normalerweise sind sie etwa 30 Sekunden lang gültig), bevor sie endgültig ablaufen. Die Idee ist, dass Hacker sie nicht stehlen und später verwenden können.

OTP-Codes sind als zusätzlicher Faktor etwas sicherer als eine einzelne Authentifizierungsmethode, wie z. B. ein isoliert verwendetes Kennwort, und sie können nicht "nachgespielt" werden.

Wenn OTP in Kombination mit einem auswendig gelernten Passwort verwendet wird, wird es für Hacker schwieriger. Sie können nicht mit nur einem Element, nämlich dem Passwort, auf das Konto ihres Opfers zugreifen. Sie müssen immer noch das OTP erhalten. Wie alles andere verlangsamt es die bösen Jungs, aber verhindern OTP-Codes alle passwortbasierten Angriffe? Nun, die kurze Antwort ist definitiv nein.

Was ist mit Phishing?

Wir können die neue Sicherungs- und Synchronisierungsfunktion von Google nicht diskutieren, ohne über Phishing zu sprechen. Es ist richtig, dass ein Passwort und ein OTP eine wirksame Methode sind, um Brute-Force-Angriffe zu verhindern - aber Phishing wird dadurch nicht gestoppt.

Beim Phishing stiehlt der Angreifer sowohl das Passwort als auch das OTP und kann sie dann sofort verwenden, um auf das Konto seines Opfers zuzugreifen. Dies wird als "On-the-fly-Phishing"-Angriff bezeichnet. In diesem Szenario können OTPs die Benutzer nicht schützen.

Adversary in The Middle (AiTM)

Wenn Sie Adversary in the Middle noch nicht auf Ihrem Radar haben, sollten Sie es vielleicht tun. Bei diesem Angriff handelt es sich merkwürdigerweise um einen sehr viel ausgefeilteren Phishing-Angriff, der aber gleichzeitig sehr schnell und einfach mit Open-Source-Phishing-Kits durchgeführt werden kann - Phishing als Service ist da. Dadurch wird AiTM für Cyberkriminelle zugänglicher denn je, ohne dass für eine erfolgreiche Ausführung viel Know-how oder Budget erforderlich ist. AiTM ist auch der Angriff, von dem einige in der Branche behaupten, er könne MFA umgehen. Das ist nicht ganz richtig, oder zumindest nicht die ganze Geschichte. AiTM ermöglicht jedoch die Umgehung des OTP-Schutzes sowie von QR und/oder Push, die alle Technologiender ersten Generation sind. Bei AiTM muss der Angreifer nur die Sitzungscookies stehlen, um auf das Konto seines Opfers zuzugreifen. Aber nicht alle MFA ist gleich, wie wir noch erklären werden.

Googles Cloud Backup und Synchronisierung

Die Einführung von Cloud-Backup und -Synchronisierung für Google Authenticator wird den Nutzern natürlich helfen, den Zugang zu ihrem Konto wiederzuerlangen, falls sie das Telefon, auf dem Authenticator installiert ist, verlieren, bringt aber auch größere Probleme mit sich. Google sagt:

"Ein wichtiges Feedback, das wir im Laufe der Jahre von Nutzern erhalten haben, war die Komplexität im Umgang mit verlorenen oder gestohlenen Geräten, auf denen Google Authenticator installiert war. Da einmalige Codes in Authenticator nur auf einem einzigen Gerät gespeichert wurden, bedeutete der Verlust dieses Geräts, dass die Nutzer ihre Fähigkeit verloren, sich bei allen Diensten anzumelden, für die sie 2FA mit Authenticator eingerichtet hatten."

Kontoübernahme

Da die OTP-Geheimnisse für verschiedene Konten nun in der Cloud gespeichert werden, muss ein Angreifer lediglich das Passwort des Google-Kontos des Nutzers stehlen, um alle OTP-Geheimnisse auf dem Gerät wiederherzustellen. Mit den Geheimnissen kann der Angreifer nun so viele OTPs generieren, wie er für jedes der Benutzerkonten benötigt, um sie zu kompromittieren. Der Angreifer kann auch die OTP-Geheimnisse zurücksetzen, um die Konten vollständig zu übernehmen.

Und was ist, wenn die Nutzer nicht daran denken oder sich nicht daran erinnern, eine andere Authentifizierungsmethode für ihr Google-Konto zu verwenden? Sie könnten den Zugang zu allem verlieren, auch ohne eine vollständige Übernahme des Kontos.

Fazit

Mit oder ohne Backup können sowohl Passwörter als auch OTPs gefälscht werden. OTPs können mit AiTM zu 100 % umgangen werden. Jede MFA ist besser als keine MFA, aber das ultimative Ziel sollte eine fälschungssichere MFA sein - eine MFA, die nicht gefälscht werden kann, bei der Anmeldedaten nicht gestohlen und der Authentifizierungsprozess nicht umgangen werden kann.

Verwandte Beiträge

Wenn Ihnen unsere Inhalte hier gefallen, werden Sie auch die Dinge lieben, die wir auf LinkedIn teilen.

Wenn Ihnen unsere Inhalte gefallen
folgen Sie uns auf LinkedIn

Folgen Sie uns
linkedin-Symbol weiß

Was ist ein "Adversary in the Middle"-Angriff? Kann er wirklich MFA umgehen?

Schauen Sie sich unsere Demonstrationsvideos an, um zu sehen, dass die App-basierte MFA der 1. Generation gegen diese Art von Angriffen nicht immun ist.

Das Video ansehen