Ist die neue OTP Cloud Backup-Funktion von Google Authenticator sicher?

Wir alle kennen Google Authenticator. Es handelt sich um eine App-basierte MFA, die "zeitbasierte Einmalkennwörter" (TOTP), kurz OTP, verwendet. Wenn ein Nutzer bereit ist, eine Anmeldung zu authentifizieren, stellt Google Authenticator dem Nutzer einen sechsstelligen Code zur Verfügung, um zu beweisen, wer er ist.

Die Authenticator-App ist jetzt etwa 13 Jahre alt und die Nutzer haben verzweifelt darauf gewartet, dass Google eine Backup- und Synchronisierungsfunktion hinzufügt, die laut vielen Kommentatoren seit einiger Zeit ganz oben auf der Wunschliste steht. Google schließt sich einer Liste anderer MFA-Anbieter an und fügt diese Funktion hinzu.

In diesem Artikel erörtern wir die Herausforderungen, Bedrohungen und Fallstricke der Backup- und Synchronisierungsstrategie von Google und warum sie mit größeren Problemen verbunden ist.

Was ist ein OTP-Code?

Lassen Sie uns zunächst über OTP sprechen. Es ist der sechsstellige Code, der auf einer App oder einem Hardwaregerät generiert wird und bei einigen Multifaktor-Authentifizierungsprozessen als zusätzlicher Schritt verwendet wird. Ein OTP-Code ist wie ein Passwort in seiner Anwendung, aber im Gegensatz zu Passwörtern können OTPs nur einmal verwendet werden (normalerweise etwa 30 Sekunden lang gültig), bevor sie dauerhaft ablaufen. Die Idee ist, dass Hacker sie nicht stehlen und später verwenden können.

OTP-Codes sind als zusätzlicher Faktor etwas sicherer als eine einzelne Authentifizierungsmethode, z. B. ein isoliert verwendetes Passwort, und sie können nicht "wiederholt" werden.

Wenn OTP in Kombination mit einem auswendig gelernten Passwort verwendet wird, wird es Hackern sicherlich schwerer fallen. Sie können nicht mit nur einem Element, nämlich dem Passwort, auf das Konto ihres Opfers zugreifen. Sie müssen immer noch das OTP bekommen. Wie alles andere verlangsamt es die Bösewichte, aber verhindern OTP-Codes alle passwortbasierten Angriffe? Nun, die kurze Antwort lautet definitiv nein.

Was ist mit Phishing?

Wir können die neue Sicherungs- und Synchronisierungsfunktion von Google nicht besprechen, ohne über Phishing zu sprechen. Es stimmt, dass ein Passwort und ein Einmalpasswort ein wirksames Mittel sind, um Brute-Force-Angriffe zu verhindern - aber das verhindert nicht das Phishing.

Beim Phishing stiehlt der Angreifer sowohl das Passwort als auch das OTP und kann diese dann sofort verwenden, um auf das Konto seines Opfers zuzugreifen. Dies wird als "On-the-Fly-Phishing"-Angriff bezeichnet. In diesem Szenario können OTPs die Benutzer nicht schützen.

Der Widersacher in der Mitte (AiTM)

Wenn Der Widersacher in der Mitte nicht auf deinem Radar ist, vielleicht sollte es das sein. Dieser Angriff ist seltsamerweise sowohl ein viel raffinierterer Phishing-Angriff als auch gleichzeitig ein Angriff, der jetzt sehr schnell und einfach mit Open-Source-Phishing-Kits ausgeführt werden kann - Phishing als Service ist da. Dadurch ist AiTM für Cyberkriminelle zugänglicher denn je, ohne dass für eine erfolgreiche Ausführung viel Fachwissen oder Budget erforderlich ist. AiTM ist auch der Angriff, von dem einige Branchenvertreter behaupten, er könne MFA umgehen. Das ist nicht ganz richtig, oder zumindest ist es nicht die ganze Geschichte. AiTM ermöglicht es jedoch, den Schutz von OTP sowie QR und/oder Push zu umgehen, die alle 1 ^sindst Erzeugungstechnologien. Alles was der Angreifer tun muss AITM stiehlt die Sitzungscookies um auf das Konto seines Opfers zuzugreifen. Aber nicht alle MFA sind gleich, wie wir erklären werden.

Cloud-Backup und -Synchronisierung von Google

Die Einführung von Cloud-Backup und -Synchronisierung für Google Authenticator hilft den Nutzern natürlich dabei, wieder auf ihr Konto zuzugreifen, falls sie das Telefon verlieren, auf dem Authenticator installiert ist, aber das bringt größere Probleme mit sich. Google sagt:

"Ein wichtiges Feedback, das wir im Laufe der Jahre von Nutzern erhalten haben, war die Komplexität im Umgang mit verlorenen oder gestohlenen Geräten, auf denen Google Authenticator installiert war. Da Einmalcodes in Authenticator nur auf einem einzigen Gerät gespeichert wurden, bedeutete der Verlust dieses Geräts, dass Nutzer sich nicht mehr bei jedem Dienst anmelden konnten, für den sie 2FA mit Authenticator eingerichtet hatten."

Kontoübernahme

Da OTP-Geheimnisse für verschiedene Konten jetzt in der Cloud gespeichert werden, muss ein Angreifer lediglich das Google-Kontokennwort des Benutzers stehlen, um alle OTP-Geheimnisse auf seinem Gerät wiederherzustellen. Mit den Geheimnissen kann der Angreifer nun so viele OTPs generieren, wie für jeden der Benutzerkonten erforderlich sind, um sie zu gefährden. Der Angreifer kann das OTP-Geheimnis auch zurücksetzen, um die Konten vollständig zu übernehmen.

Und was ist, wenn Nutzer nicht der Meinung sind oder sich nicht daran erinnern, eine andere Authentifizierungsmethode für ihr Google-Konto zu verwenden? Sie könnten sowieso den Zugriff auf alles verlieren, auch ohne eine vollständige Kontoübernahme.

Abschließend

Mit oder ohne Backup können sowohl Passwörter als auch OTPs gehackt werden. OTPs können mit AITM zu 100% umgangen werden. Jede MFA ist besser als keine MFA, aber das ultimative Ziel sollte Phishing-sicheres MFA - Bei einer MFA, die nicht mit Phishing-Angriffen verbunden ist, können Anmeldeinformationen nicht gestohlen werden und der Authentifizierungsprozess kann nicht umgangen werden.