TODO: Write some content here.
This is a heading
The first paragraph
The second paragraph
ForDaySec Kartenspiel Datenschutz und IT-Sicherheit
Mehrfaktorauthentifizierung
Phishing erschweren mit
Zweifaktorauthentifizierung
Beim Phishing täuschen Angreifer
die Nutzer – „Ihr Nutzeraccount
wurde gesperrt und muss wieder
aktiviert werden“ und ähnliches liest
man. Häufig sollen die Nutzer dann
in ein Formular ihren Benutzernamen
und ihr Passwort eingeben.
Bei Zweifaktorauthentifizierung
(2FA) muss der Nutzer beim Login
zusätzlich zum Passwort (1. Faktor)
einen weiteren Faktor nachweisen,
etwa den Besitz eines Geräts.
Beim Phishing täuschen Angreifer die Nutzer – „Ihr Nutzeraccount wurde gesperrt und muss wieder aktiviert werden“ und ähnliches liest man. Häufig sollen die Nutzer dann in ein Formular ihren Benutzernamen und ihr Passwort eingeben. Bei Zweifaktorauthentifizierung (2FA) muss der Nutzer beim Login zusätzlich zum Passwort (1. Faktor) einen weiteren Faktor nachweisen, etwa den Besitz eines Geräts.
9/52
2FA-Verfahren: Zeitbasiertes
Einmalpasswort (TOTP)
Bei TOTP wird in Abhängigkeit von
der aktuellen Uhrzeit und einem
geheimen Schlüssel ein Einmal-
passwort abgeleitet, das nur kurz
gültig ist. Gängig sind 6 Ziffern für
eine Zeitperiode von 30 Sekunden.
Den geheimen Schlüssel erhält der
Nutzer üblicherweise über einen
QR-Code, den er mit einer TOTP-App
auf seinem Smartphone scannt. Die
TOTP-App zeigt danach immer das
aktuell gültige Einmalpasswort an.
Bei TOTP wird in Abhängigkeit von der aktuellen Uhrzeit und einem geheimen Schlüssel ein Einmalpasswort abgeleitet, das nur kurz gültig ist. Gängig sind 6 Ziffern für eine Zeitperiode von 30 Sekunden. Den geheimen Schlüssel erhält der Nutzer üblicherweise über einen QR-Code, den er mit einer TOTP-App auf seinem Smartphone scannt. Die TOTP-App zeigt danach immer das aktuell gültige Einmalpasswort an.
10/52
Empfehlungen für
Smartphone-TOTP-Apps
Wer seinen Nutzern aus verschie-
denen Gründen nicht die TOTP-
Anwendungen der großen Anbieter
(etwa Google- oder Microsoft-
Authenticator) empfehlen möchte,
findet gute Alternativen.
Unter Android kann die App „Aegis“
empfohlen werden, unter iOS die App
„Authenticator“. Beide Apps sind
Open Source, benötigen keinen
Anbieter-Account zur Nutzung und
schicken keine Daten ins Internet.
Wer seinen Nutzern aus verschiedenen Gründen nicht die TOTP- Anwendungen der großen Anbieter (etwa Google- oder Microsoft- Authenticator) empfehlen möchte, findet gute Alternativen. Unter Android kann die App „Aegis“ empfohlen werden, unter iOS die App „Authenticator“. Beide Apps sind Open Source, benötigen keinen Anbieter-Account zur Nutzung und schicken keine Daten ins Internet.
11/52
TOTP schützt nur begrenzt vor
professionellem Phishing
Einfaches Phishing greift nur das
Passwort der Nutzer ab und nutzt
dieses zu einem späteren Zeitpunkt.
Dagegen hilft TOTP. Ein Angreifer
kann jedoch auch das Passwort und
das aktuelle Einmalpasswort abfra-
gen und sofort für den Login nutzen.
TOTP schützt hier insoweit, dass nur
ein einziger, sofortiger Login möglich
ist. Häufig ist es dann aber möglich,
die Sitzung durch aktive Nutzung
beliebig lange offen zu halten.
Einfaches Phishing greift nur das Passwort der Nutzer ab und nutzt dieses zu einem späteren Zeitpunkt. Dagegen hilft TOTP. Ein Angreifer kann jedoch auch das Passwort und das aktuelle Einmalpasswort abfragen und sofort für den Login nutzen. TOTP schützt hier insoweit, dass nur ein einziger, sofortiger Login möglich ist. Häufig ist es dann aber möglich, die Sitzung durch aktive Nutzung beliebig lange offen zu halten.
12/52
Sicherheit vor Phishing:
WebAuthn und Passkeys
Bei Webauthn hinterlegt der Browser
beim Anbieter einen öffentlichen
Schlüssel. Bei der Authentifizierung
signiert der Browser mit dem priva-
ten Schlüssel den Hostnamen der
Webseite zusammen mit einer Chall-
enge des Anbieters. Die Signatur wird
vom Anbieter mit dem öffentlichen
Schlüssel verifiziert. Bei Phishing
schlägt dies fehl, weil der Hostname
der Phishing-Webseite ein anderer
ist. Die Passkeys-Erweiterung erlaubt
es mehrere Geräte zu verbinden.
Bei Webauthn hinterlegt der Browser beim Anbieter einen öffentlichen Schlüssel. Bei der Authentifizierung signiert der Browser mit dem privaten Schlüssel den Hostnamen der Webseite zusammen mit einer Challenge des Anbieters. Die Signatur wird vom Anbieter mit dem öffentlichen Schlüssel verifiziert. Bei Phishing schlägt dies fehl, weil der Hostname der Phishing-Webseite ein anderer ist. Die Passkeys-Erweiterung erlaubt es mehrere Geräte zu verbinden.
13/52