Lindenrainstraße 13/1
73312 Geislingen

Tel. 07331 977 296-0
Fax. 07331 600 64
info@webdata.de

01 Sep

Welche Multi-Faktor-Authentifizerung ist denn die Beste?

Posted by

Ende April habe ich unseren Kunden in diesem Blog-Beitrag geraten, Multi-Faktor-Authentifizierung zu verwenden und erklärt, wie man das in Office365 einschalten kann.

Heute möchte ich diskutieren, welche Art der Multi-Faktor-Authentifizierung am geeignetsten ist und warum.

Zur Auswahl stehen die Optionen aus dem Screenshot.

Schauen wir uns die Vor- und Nachteile der einzelnen Methoden und die Vorgehensweise an:

  • Auf Telefon anrufen
    Die hinterlegte Mobilnummer des Benutzers wird angerufen, der Benutzer muss durch Drücken der # Taste den Anruf quittieren und danach wird er authentifiziert.

  • Textnachricht an Telefon
    An die hinterlegte Mobilnummer des Benutzers wird eine SMS mit einem Code geschickt, den dieser eingeben muss, um authentifiziert zu werden. Der Code muss abgetippt werden um die Authentifizierung zu beenden.

  • Benachrichtigung über mobile App
    Sie installieren sich eine App auf Ihr Mobiltelefon. Diese verbinden Sie über einen Sicherheitscode oder über eine QR Code mit Ihrem Office365 Account. Bei einem Anmeldeversuch bekommt die App eine Benachrichtigung gesendet. Diese kann dann über das Drücken einer "Bestätigen" Schaltfläche sehr bequem und einfach bestätigt werden.

  • Überprüfungscode von mobiler App
    Sie installieren sich eine App auf Ihr Mobiltelefon. Nach Verbinden dieser App über Sicherheitscode oder QR Code müssen Sie beim Anmelden in Office365 einen Überprüfungscode aus der App abtippen und absenden. Der Überprüfungsode wird anhand einer Account-bezogenen Basis modifiziert durch die aktuelle Zeit errechnet: Sowohl Service als auch App errechnen also immer denselben Code zur selben Zeit. 

Die erste und dritte Möglichkeit punkten bei der Bequemlichkeit, weil nur eine Taste betätigt werden muss.
Bei den anderen beiden Möglichkeiten ist es weniger bequem, da statt einfachem Drücken einer Taste 6 Ziffern abgetippt werden müssen.

Bei der Verwendung von Textnachrichten kommt dazu, dass für SMS das Protokoll SS7 verwendet wird. Dieses Protokoll wurde ursprünglich geschaffen, um einen Austausch von SMS zwischen verschiedenen Telefonanbietern zu ermöglichen und bei der Schaffung des Protokolls wurde nicht damit gerechnet, dass sicherheitsrelevante Informationen per SMS versendet werden. Das Protokoll ist daher sehr schlecht geschützt und aktuell relativ leicht zu hacken. (https://www.theguardian.com/technology/2016/apr/19/ss7-hack-explained-mobile-phone-vulnerability-snooping-texts-calls) Ggf. wird das noch verschlimmert, wenn Apps für Smartphones SMS sofort in einem Cloud Backup ablegen (z.B. SMS-Backup+ für Android). Wird der Cloud-Account des Benutzers gehackt, so hat der Hacker durch seinen Zugang direkten Zugriff auf die SMS.

Interessant ist, dass bei der Option "Anruf" eine Weiterleitung des Anrufs funktioniert, und auf dem weitergeleiteten Gerät die Authentifizierung vorgenommen werden kann. Ebenso interessant ist, dass es problemlos möglich ist, mehrere Smartphones mit Authentificator-Apps mit einem Konto zu verbinden, es aber im Office365 Portal keine Liste der verbundenen Geräte gibt.

Die in meinen Augen beste Variante ist der Überprüfungscode per mobiler App. Den etwas höheren Aufwand durch das eingeben der Ziffern gleicht die Tatsache, dass keinerlei Code, Benachrichtigung oder Anruf vom System an die App gesendet werden müssen. Da es in diesem Kanal nichts gibt, das abgefangen werden kann, ist zumindest dieses Sicherheitsrisiko theoretisch ausgeschlossen. Optimal wäre, wenn ich als Kontobesitzer eine Mitteilung bekommen würde, sobald eine neue App mit meinem Konto verbunden wird - so wäre zusätzlich noch sichergestellt, dass niemand sich einen zweiten Faktor beschafft ohne dabei mein Mobiltelefon zu beschaffen. Das Risiko, dass jemand schnell meinen QR Code in einem angemeldeten Office365 Konto scanned ist aber gering, wenn ich mal als best Practice daran gewöhne, angemeldete Arbeitsstationen zu sperren (Unter Windows mit WIN-Taste + L), wenn ich Sie aus dem Blick lasse. Anscheinend ist auch nicht möglich, mehr als eine App mit einem Konto zu verbinden - das werde ich bei Gelegenheit mit einem Praxistest nachvollziehen.

Bei all dem darf man aber auch nicht vergessen, dass es sich nur um einen zweiten Faktor handelt - die Wahl eines sicheren Passwortes darf dadurch nicht vernachlässigt werden.

Schreibe einen Kommentar