Sysbus
ArtikelAuthentifizierung

Wie Hacker Authentifizierungskonzepte umschiffen – und wie man sie aufhalten kann

gg

Korrekte Implementierung als A und O

Ganz unabhängig davon, welche Authentifizierungstechnologie zum Einsatz kommt: Implementierungsfehler und Fehlkonfigurationen ebnen Missbrauchsversuchen den Weg. Daher macht es durchaus Sinn, das Augenmerk auch auf komplexere Szenarien zu lenken:

Der sogenannte “Pass-the-Cookie”-Angriff, der im oben erwähnten CISA-Bericht beschrieben wird, ist hierfür ein gutes Beispiel. Zum spezifischen Ablauf ist Folgendes festzuhalten: Sobald sich ein Benutzer authentifiziert hat, erstellt sein Browser ein Cookie, um die Notwendigkeit einer ständigen Neuauthentifizierung zu vermeiden. Das Cookie bleibt normalerweise nur für diese Sitzung oder einen sehr kurzen Zeitraum gültig. Je nach Implementierung könnte ein Angreifer ein solches Cookie stehlen, und ist damit in der Lage, auf die jeweilige Web-Anwendung zuzugreifen – ohne sich erneut authentifizieren zu müssen.

Noch fataler ist, dass einige Desktop-Anwendungen nach der ersten Authentifizierung ein langlebiges „Token“ erstellen (nicht zu verwechseln mit dem Authentifizierungs-Token), mit dem Benutzer zum Teil monatelang auf die Anwendung zugreifen können, bevor sie sich erneut authentifizieren müssen. Um das Risiko eines solchen „Pass-the-Cookie“-Angriffs zu vermeiden, gilt es daher unbedingt, die Lebensdauer entsprechender Cookies oder Token zu begrenzen. Natürlich sollte dies aber auch nicht dazu führen, dass Benutzer gezwungen sind, sich mehrmals am Tag neu zu authentifizieren.

Ein weiteres Beispiel für eine komplexe MFA-Umgehungstaktik ist der „Golden SAML“-Angriff, der im Zuge des SolarWinds-Hacks traurige Berühmtheit erlangte. Durch SAML (Security Assertion Markup Language) wird es möglich, dass Mitarbeiter Single-Sign-On (SSO) für mehrere Anwendungen zu nutzen. Hierzu wird eine Vertrauensbeziehung zwischen ihnen und dem Identity Provider hergestellt. Dies kann durchaus praktisch und sinnvoll sein, insbesondere wenn die Multifaktor-Authentifizierung innerhalb des zentralen Zugangssystems für Service-Provider-Dienste zum Tragen kommt. Schluss mit lustig ist jedoch, wenn ein Angreifer Administratorzugriff auf den Identity-Provider-Server erhält. Sobald er in den Besitz der privaten Schlüssel gelangt, kann er die SAML-Antwort signieren und den Identity Provider dazu zu zwingen, die Authentifizierung zuzulassen – selbst wenn die Anmeldeinformationen falsch sind. Unternehmen, die mit SAML arbeiten, sollten also sicherstellen, dass die Server zur Schlüsselverwaltung bestmöglich geschützt sind.

Für zeitgemäße Sicherheitsstrategien ist MFA entscheidend

Gerade im Zuge der Pandemie sind Zero-Trust-Konzepte und die Absicherung von Remote-Arbeitsplätzen auf der Prioritätenliste vieler Unternehmen weit nach oben gerückt. Es kommt mehr denn je darauf an, dass sich Personen, die auf wertvolle Unternehmensdaten und -ressourcen zugreifen, zunächst verlässlich authentifizieren. Einem aktuellen Bericht von Gartner zufolge ist das Risiko, Opfer eines unberechtigten Kontenzugriffs zu werden, für Organisationen ohne MFA-Schutz bis zu fünfmal höher.

Vorbei sind also die Zeiten, in denen Unternehmen es sich leisten konnten, MFA eher als Kür denn als Pflicht zu betrachten. In dem Zusammenhang dürfen allerdings auch die Schwächen bestehender MFA-Technologien nicht aus den Augen verloren werden. Unternehmen, die gerade über die Einführung einer MFA-Lösung nachdenken, sollten verfügbare Optionen sorgfältig gegenüber ihrem individuellen Einsatz- und Risikoprofil abwägen. Zudem gilt es zu beachten, dass das gewählte Werkzeug nur dann seine volle Wirkung entfalten kann, wenn es zum Einsatzzweck passt und richtig verwendet wird. Die korrekte Implementierung ist von entscheidender Bedeutung. Darüber hinaus sollte MFA im Rahmen eines mehrschichtigen Sicherheitskonzepts verankert werden. Zusätzliche Schutzmaßnahmen sowie die Schulung und das Training der Anwender gelten in dem Zusammenhang als wichtige Faktoren im Sinne nachhaltiger IT-Security-Strategien.

Ähnliche Beiträge:

  1. Authentifizierung: Viel hilft viel
  2. Tokenlose Zwei-Faktor Authentifizierung mit Wearables
  3. Adaptive Routing: GPS für SMS-Nachrichten
  4. Interview mit der FGND Group zum Thema “Zukunft der Authentifizierung”

Das könnte dir auch gefallen

Remote-Desktop-Lösungen senken Verwaltungs- und Steuerungsaufwand für IT-Administrationen

dcg

Enterprise Search setzt generativer KI sinnvolle Grenzen

dcg

Gefahr über WiFi: Wie Evil-Twin-Angriffe funktionieren und wie man sich vor ihnen schützen kann

gg