Sowohl die Angriffs- als auch die Verteidigungsstrategien in der IT-Sicherheit orientieren sich immer stärker an der Absicherung von Identitäten und Ihren Berechtigungen – denn: Erst der Zugriff auf relevante Daten macht den Angriff lohnenswert.
Starke Identitäten sind auch ein Grundbaustein für Zero-Trust-Strategien. Nur mit einer sicheren Identität können definierte Policies erfolgreich greifen. Multi-Faktor-Authentifizierung gilt schon lange als ein entscheidender Schritt, um die Sicherheit einer Identität und damit einer IT-Umgebung zu erhöhen.
Klassisch ist hier in Ergänzung zu einem Benutzernamen und einem Passwort ein Einmalpasswort (one-time-password, OTP), generiert durch ein Token im Schlüsselanhängerformat:
Historisch gab es hier schnell proprietäre Formate durch einzelne Hersteller, die Popularität erlangten, aber auch seit 2005 mit OATH HOTP und später TOTP einen Standard, der schnell bei Backends und Tokenherstellern Einzug hielt.
Diese klassischen Tokenverfahren basieren auf synchronen Schlüsseln, die im Token und im authentifizierenden Server identisch abgelegt sind und als Grundlage zur Generierung von OTPs dienen. Diese synchronen Schlüssel werden heute immer mehr von asynchronen Verfahren wie LinOTP Push-Token oder FIDO-Token abgelöst, um bei einer Komprimierung des Backendservers nicht alle Schlüssel zu verlieren.
Eine beliebte und allgemein bekannte Variante der klassischen Token sind SMS basierte Verfahren: Beim Login wird eine SMS mit dem benötigten Wert an den Benutzer versendet, der dann in das entsprechende Formular übertragen werden muss.
Das war lange, auch in der Finanzbranche mit der mTAN, als ausreichend angesehen. Heute gelten SMS Token nur noch für kurzfristige Einsätze oder Niedrigrisikoanwendungen als akzeptabel, da SIM-Swap-Attacken und Angriffe auf Mobilfunknetze in den letzten Jahren immer wieder erfolgreich ausgeführt worden sind.
Schwächen klassischer Tokenverfahren
Beiden Varianten, klassischen Hardware- und Softwaretoken und SMS Token, ist die Eingabe in einen Login-Dialog gemeinsam – häufig in Webportalen via Browser.
Da vor allem heutige Browser die Session und damit die Kommunikation mit einem Kommunikationspartner nur unzureichend gegen Man-in-the-middle-Attacken absichern, wird die fehlende Transaktionsbindung der klassischen Token zum Schwachpunkt: Ein klassischer OTP-Wert kann für alles eingesetzt werden, wenn er einmal generiert und noch nicht verwendet wurde. Der Angreifer kann dann seinen eigenen Angriff mit einem OTP verifizieren, der für eine eigentlich harmlose Aktion erstellt wurde.
Sicherheit durch transaktionsbasierte Verfahren
Neuere transaktionsbasierte Verfahren machen den Vorgang selbst zum Teil der kryptographischen Verfahren in der Authentifizierung: Ein OTP kann damit nur zu dem Zeitpunkt und für den Zweck eingesetzt werden, für den es gedacht war. Ein Man-in-the-middle wird erschwert oder unmöglich gemacht.
Transaktionsbasierte Verfahren mit asynchronen Schlüsseln sind vor allem aus dem Bankenbereich bekannt (TAN-Verfahren), werden aber auch in der Authentifizierung und der Absicherung von Geschäftsprozessen immer wichtiger. Kryptographisch moderne Token bieten hier Zukunftssicherheit.
Natürlich ist die Auswahl des korrekten Tokens nur ein Aspekt in der erfolgreichen Implementierung eines MFA-Backends mit Zero-Trust und Passwordless Authentication im Hinterkopf. In unserem Webinar zeigen wir am Beispiel unserer Lösung LinOTP was bei einer Implementierung zu beachten ist und wie LinOTP hilft Ihre Infrastruktur mit modernen Verfahren und einem einfachen Management und SelfService abzusichern.