Ich habe einen Blog Post über Zwei-Faktor-Authentisierung geschrieben und halte die Empfehlungen dort auch für richtig und sinnvoll. Das Thema hat mich doch auch nachdenklich gemacht.
Zwei-Faktor-Authentisierung ist das Prinzip wie bei einer Bankkarte UND einer PIN. Falls die Bankkarte gestohlen wird, kann der Dieb kein Geld abholen, weil er die PIN nicht kennt. Deswegen sollte die PIN auch nicht auf einem Zettel in der Geldbörse liegen. Für Überweisungen gibt für diesen Fall TANs, die bei jeder Überweisung hinzugefügt werden müssen. Das sind zunächst mal gute Ideen, weil sie es wirklich komplizierter machen, Bankkonten abzuräumen. Wenn man das in die digitale Welt übersetzt, verändern sich aber die Parameter ein wenig.
Die Bankkarte ist dann vielleicht das Äquivalent zu Benutzername und Passwort. Man holt es “aus der Tasche” oder hat es im Kopf, wenn man sich auf einer Website einloggt. Da Passworte lang und kompliziert sein sollten und vor allem immer andere Passworte genommen werden sollten, hat man die Passworte aber nicht mehr im Kopf, sondern irgendwie doch wieder “in einer Tasche”. Die Tasche ist ein Passwortmanager, der seinerseits durch ein Passwort geschützt ist.
Viele Passwort Manager werden online verwaltet. Wer Benutzernamen und Passwort hat, hat Zugriff zu allen Passworten innerhalb dieses Passwort Managers. Ich habe es mehrmals erlebt, dass die Passworte einer ganzen Firma hinter so einem Login liegen (und die Zugangsdaten per E-Mail versendet worden sind).
Der Schaden kann also erheblich sein für die Firma wenn so ein Passwort bekannt wird.
Nun ist eins der grösseren Probleme ja heute, dass nicht nur individuelle Passworte von individuellen Menschen “abhanden” kommen können, sondern Firmen im grossen Stil auf unterschiedlichste Weise “gehackt” werden. Es kursieren Millionen von E-Mail/Passwort Kombinationen, die automatisiert ausgewertet und genutzt werden können (Und Kreditkartendaten und was weiss ich noch alles. Man muss das nur miteinander verbinden). Und das perfide daran ist ja, dass man sowas einfach als Kompromat sammeln und dann bei Bedarf nutzen kann.
Allein um heute und morgen einigermassen sicher zu sein, sollte man also seine Passworte regelmässig ändern und niemals das gleiche Passwort bei einem anderen Dienst verwenden.
Selbst wenn man das alles macht, ist man noch nicht gegen social hacking gefeit. An Grenzübergängen werden heutzutage Passworte von Telefonen verlangt. Wenn jemand Usernamen und Passwort kennt, kann er oder sie sich ganz einfach anmelden und Dinge tun. Meistens auch noch ohne dass der “rechtmässige Eigentümer” der Daten das bemerkt.
Die Zwei-Faktor-Authentisierung (2FA) ist da schon eine clevere Idee, weil sie mit einen Zweiten Faktor arbeitet, der nur ein paar Sekunden gültig ist und nur dem “rechtmässigen Eigentümer” bekannt sein sollte.
Ausser dem Problem von individueller Vergesslichkeit und firmenseitiger Schlamperei gibt es aber auch noch professionelle “Mithören”, also Regierungen, die Polizei, die bösen Gangster, die Geheimdienste, um nur ein paar zu nennen. Sie treten als Man in the middle auf. Wenn nun die PINs, TANs und Passworte im Kopf des Besitzers sind oder auf einem Stück Papier, dass irgendwie liegt, ist es gar nicht sooo einfach, da ran zu kommen. Wenn diese Dinge aber digitalisiert werden, verändern sich die Verhältnisse.
2FA geht ja so, dass eine App, die keine Verbindung zu einer Website hat, alle 30 Sekunden einen Code anzeigt. Dieser Code wird bei der Anmeldung auf einer Website eingetragen, die Website überprüft daraufhin ob der Code richtig ist und die Anmeldung wird erlaubt. Damit das funktioniert müssen beide (App und Website) über eine genaue Uhr verfügen und die Zahlen auf die gleiche Weise berechnen. Wenn die beiden das können, kann das natürlich auch ein Dritter, völlig Unbeteiligter. Der muss nur wissen, auf welche Weise sich App und Website vertrauen. Die beiden vertrauen sich normalerweise über einen Schlüssel, der vom Smartphone aus einem QR Code eingelesen wird. Man könnte den Schlüssel auch per Hand eintragen aber QR Code ist einfacher.
Die App, die ich für 2FA beschrieben habe, heisst Authy. Bevor man Authy nutzen kann, muss man sich mit der Handynummer anmelden. Die App gehört der Firma Twilio und deren Geschäft ist das Versenden von Voice und SMS (Everything you need to build intelligent, sophisticated communications) und viele, viele APIs. Im Blog von Authy wird auch erklärt, warum diese wirklich praktische App kostenlos ist (Why Is The Authy 2FA App Free For Users?). Twilio ist eine amerikanische Firma und durch die Verbindung von Telefonnummer (teilweise auch E-Mail), Website, App, Zeitberechnung und Tokenberechnung per default “the man in the middle”. Sie könnten, wenn sie denn wollten, eine Menge kontrollieren und “beeinflussen”.
Was mich fasziniert an dem Geschäftsmodell:
Es wird als supersicher und superkomfortabel vermarktet und für den einzelnen Teilnehmer des Systems stimmt das in der Masse auch, von daher ist es wirklich ein besserer Schutz für den Einzelnen.
Twilio will ja auch “nur” Geld verdienen :)
Aber zu jeder Zeit an jedem Ort kann diese Sicherheit bei Bedarf ausgehebelt werden. Beispielsweise von jemandem, der Twilio hackt (oder kauft oder betrügt, oder dort arbeitet, oder)
Das Ganze ist ziemlich abstrakt und ich bin mir auch noch nicht sicher bei meinen Gedanken. Es ist aber schon interessant, mit wie vielen Ebenen man es zu tun hat, um sich auf einer Website “sicher” anzumelden.
Man könnte dieses Beispiel mit ähnlichen Argumenten auch als Totalüberwachung bezeichnen, je nachdem, aus welcher Ecke man sich das ansieht.
Leave a Reply