Office365 im Visier: Warum 2FA unverzichtbar ist für Ihren Schutz
Jetzt kaufen 2FA in Microsoft 365: Warum die Zwei-Faktor-Authentisierung unverzichtbar
Time-based One-Time Passwords (kurz: TOTP) erweitern den Log-in per Benutzername und Passwort um eine weitere Komponente und sichern sensible Unternehmensdaten per Zwei-Faktor-Authentifizierung (2FA). Doch wie funktionieren die zeitlich begrenzt gültigen Einmalkennwörter überhaupt und welche Vorteile bietet ein Hardware-Authenticator?
Ob Business-Anwendungen wie Microsoft 365, PC-Support per Teamviewer oder VPN-Fernzugriffe auf das eigene Unternehmensnetzwerk: Die alleinige Eingabe von Benutzername und Passwort reicht nicht mehr. Fast alle Online-Plattformen bieten deshalb die Möglichkeit, Benutzerkonten durch eine sichere Zwei-Faktor-Authentifizierung (2FA) vor Missbrauch und Identitätsdiebstahl zu schützen. Diese Variante der Multi-Faktor-Authentifizierung (MFA) nutzt neben Benutzername und Passwort beispielsweise ein zeitlich limitiertes Einmalkennwort als weiteren Authentifizierungsfaktor.
Den zusätzlichen Authentifizierungsfaktor für einen sicheren Log-in per 2FA können Firmen auf unterschiedlichsten Wegen bereitstellen. Neben Einmalpasswörtern, die spezielle TOTP-Generatoren erzeugen oder Server per E-Mail, SMS oder Anruf übermitteln, lassen sich auch physische Token wie Smartcards und Authentifizierungsschlüssel zur Absicherung der Nutzerkonten verwenden. Weit verbreitet sind dabei die folgenden sechs Arten der Zwei-Faktor-Authentifizierung:
Die verschiedenen Zwei-Faktor-Authentifizierungsmethoden lassen sich übrigens auch kombinieren. So haben Unternehmen beispielsweise die Möglichkeit, ihren Mitarbeitern neben der Nutzung von physischen Authentifizierungsschlüsseln wie Yubikey auch den 2FA-Log-in über TOTPEinmalpasswörter zu ermöglichen. Auf diese Weise können Beschäftigte mit einem TOTP-Generator auch dann noch auf ihr Konto zugreifen, wenn sie den physischen Schlüssel verlieren.
Aufgrund der Sicherheitsmängel einer Zwei-Faktor-Authentifizierung per SMS oder E-Mail und der Einstiegshürden bei Smartcards und physischen Authentifizierungsschlüsseln nutzen unternehmensinterne Online-Plattformen und die meisten Online-Dienste vor allem Time-based One-Time Passwords (TOTP). Dabei handelt es sich um eine Methode, zeitlich begrenzt gültige Einmalkennwörter (One-Time Password, OTP) auf Grundlage eines gemeinsamen und geheimen Schlüssels (Shared Secret) zu generieren. Dieses kryptografische Verfahren hat die branchenübergreifende Initiative For Open Authentication (OATH) entwickelt und im Rahmen der Internet Engineering Task Force (IETF) im Juli 2011 als RFC 6238 veröffentlicht.
Im Kern basiert TOTP, das als offener Standard frei von Patenten ist, auf einer kryptografischen Hash- Funktion (HMAC). Diese berechnet aus der aktuellen Uhrzeit und einem zuvor vereinbarten, geheimen Schlüssel einen Hash-Wert. Dieses Einmalkennwort gilt dann allerdings nur für 30 Sekunden, sodass Sender und Empfänger über hinreichend genaue Uhren verfügen müssen. So viel zur Theorie. In der Praxis läuft die Umstellung eines Nutzerkontos auf eine sichere Zwei-Faktor-Authentifizierung mit TOTP in etwa so ab:
Als TOTP-Authenticator verwendet der Nutzer dabei meist eine Software-Lösung auf seinem Smartphone beziehungsweise Desktop-PC. Alternativ funktioniert auch – und das ist gerade im Unternehmenseinsatz wesentlich sicherer – ein eigenständiger, auf Hardware basierender TOTPGenerator ohne Internet-Verbindung.
Bei den Software-Lösungen für TOTP-Kennwörter zählen der Google Authenticator und der Microsoft Authenticator sicher zu den bekanntesten Authenticator-Apps. Es gibt aber auch Alternativen wie Authy von Twilio oder die quelloffenen Anwendungen Aegis Authenticator, andOTP sowie FreeOTP(+). Selbst Passwort-Manager wie KeePass, LastPass oder 1Password unterstützen inzwischen die Zwei-Faktor-Authentisierung per TOTP. Diese Anwendungen funktionieren oft auch im Flugmodus ohne bestehende Internet-Verbindung. Trotzdem bergen derartige Software-Lösungen ein Restrisiko. So erlaubt beispielsweise die Android-Banking-Malware Cerberus, deren Quellcode in Untergrundforen frei verfügbar ist, laut den Sicherheitsexperten von Kaspersky inzwischen auch das Abgreifen von Zwei-Faktor-Authentisierungs-Codes.
Höchste Sicherheit im Unternehmensalltag bieten hingegen auf Hardware basierende TOTP-Generatoren. Sie speichern die geheimen TOTP-Schlüssel in der eigenen Hardware, arbeiten ohne Internet-Verbindung und lassen sich deshalb auch online nicht angreifen. Einige Geräte bieten zudem einen integrierten PIN-Schutz. Bei Verlust schützt eine derartige Sicherheitsfunktion effektiv vor Missbrauch, denn sie erlaubt die Nutzung des Authenticators erst nach Eingabe der PIN. Wird die PIN mehrfach falsch eingegeben, erfolgt dabei meist ein Zurücksetzen auf Werkseinstellungen, bei dem alle Schlüssel und Konten vom Gerät gelöscht werden.
Eine wichtige Rolle bei allen Arten von TOTP-Authenticatoren spielt deren genaue Uhrzeit. Je nach Implementierung tolerieren Online-Dienste zwar leichte Abweichungen der Uhrzeit auf dem TOTPAuthenticator des Anwenders. Fällt die Abweichung aber zu groß aus, schlägt der Log-in fehl. Während bei Apps der Abgleich der Uhrzeit über das Network Time Protocol (NTP) per Internet erfolgt, verfügen TOTP-Authenticatoren auf Hardware-Basis über hinreichend genaue Uhren für die Berechnung der Einmalpasswörter. Und die können für Firmen in vielen Fällen regelmäßige Folgekosten verursachen.
Aufgrund von Zeitabweichungen der internen Echtzeituhr sind Hardware-Lösungen mit verbauter Batterie oft nur zwei Jahre für die Bereitstellung von TOTP-Kennwörtern nutzbar. Im Gegensatz zu vielen Konkurrenzprodukten, die einen laufzeitbedingten Geräteaustausch erfordern, lässt sich der REINER SCT Authenticator beispielsweise nach einem Wechsel der drei AAA-Batterien über die integrierte Kamera wieder präzise synchronisieren. Über ein patentiertes QR-Kamera-Verfahren nutzt der Hersteller die Kamera des Authenticators auch zum Ändern der Spracheinstellung oder Zeitzone sowie zum Einspielen von Firmware-Updates mit neuen Funktionen und Erweiterungen. Während andere Hardware-Lösungen sich mitunter nur für einen einzigen 2FA-Account nutzen lassen, hat REINER SCT auf diese Weise beispielsweise ein Firmware-Update bereitgestellt, mit dem das Gerät nun 60 statt bislang zehn Konten verwaltet. Das ist nachhaltig und senkt die Kosten bei der Beschaffung und im Support.
Jetzt kaufen 2FA in Microsoft 365: Warum die Zwei-Faktor-Authentisierung unverzichtbar
Jetzt kaufen Sicherheit auf ein neues Level: Warum 2FA in
Jetzt kaufen (2FA) Zwei-Faktor-Authentisierung bzw. Authentifizierung an Universitäten: Ein umfassender
DNS-Spoofing: Definition und Schutzmaßnahmen In der IT-Sicherheit ist DNS-Spoofing ein
Inkognito-Modus richtig nutzen Der Inkognito-Modus klingt im ersten Moment für
Jetzt kaufen 2FA in öffentlichen Verwaltungen Warum Sicherheit unerlässlich ist!
Proxy-Server und die Gefahr durch Hacker Proxy-Server dienen als Vermittler
Adversary-in-the-Middle-Angriff: Gefahr für alle Daten Ein Adversary-in-the-Middle-Angriff ist eine Form
Man-in-the-Middle-Angriff erkennen und verhindern Ein Man-in-the-Middle-Angriff ist eine Attacke, bei
Datenschutz bei ChatGPT und anderer KI Mit neuen Entwicklungen und
Zeiterfassung und Datenschutz Durch die Entscheidung des Bundesarbeitsgerichts im September
Vishing und was man dagegen tut Beim Vishing handelt sich
Daran erkennt man, dass das Handy gehackt wurde Das Handy
Eine hacksichere Webseite erstellen Die eigene Webseite hacksicher zu machen,
Cybersecurity im Urlaub Urlaubszeit. Endlich Entspannung. Fern von der Arbeit.
Qualifikationen von Datenschutzbeauftragten Ein Datenschutzbeauftragter sorgt dafür, dass in einem
Umgang mit gehackten E-Mails Die E-Mail ist als Kommunikationsmedium nicht
Betrügerische Webseiten und Fake Shops Dass Hacker alles versuchen, um
So kann man Spam verhindern Spam ist uns allen sehr
Statistiken zur Zwei-Faktor-Authentifizierung Statistiken zur Zwei-Faktor-Authentifizierung Die Zwei-Faktor-Authentifizierung gibt es