Mehr Sicherheit durch MFA?

Ich greife hier ein Thema auf, das im Beitrag Mehr Sicherheit durch abweichenden Benutzernamen für IMAP? angesprochen wurde, nämlich die Frage ob MFA ein mehr an Sicherheit bietet. In dem verlinkten Post steht:

Ich habe mir hierzu auch den dazugehörenden ausführlichen und interessanten Blogbeitrag von @Joachim durchgelesen. Dort steht u.a.

Der einzige Vorteil von Einmalpasswörtern ist, dass sie nur sehr kurzzeitig gültig sind, aber das hat Angreifer nicht abgehalten, Phishing-Seiten zu bauen, die das Einmalpasswort halt sofort verwendet haben. Wenn ich gute Passwörter verwende (siehe auch Digitale Selbstverteidigung: Sicherheit beginnt mit starken Passwörtern) und mir zutraue, Phishing-Seiten zu erkennen, dann bieten Einmalpasswörter in meinen Augen keinen zusätzlichen Schutz. Dass immer wieder das Gegenteil behauptet wird liegt vor allem daran, dass der Durchschnittsanwender oft keine sicheren Passwörter verwendet, und bei MFA das unsichere schlechte Passwort durch das dann bessere Einmalpasswort ersetzt wird. Aber hier zwingen uns die Anbieter eine unbequeme Lösung auf statt uns aufzufordern, gute Passwörter zu verwenden.

Dass die MFA nicht den Einsatz von guten Passwörtern ersetzen soll ist klar, nur bin ich der Meinung, dass MFA durchaus Sinn macht, denn leider hat die Mehrheit der BenutzerInnen nicht das (Fach-) Wissen, z.B. Phishing-Seiten zu erkennen oder seinen Rechner ausreichend zu schützen. Ich habe auch nicht das Gefühl, dass Anbieter mir eine unbequeme Lösung aufzwingen, denn das eine (der Zwang zu einem guten Password) widerspricht nicht dem anderen (MFA).

3 „Gefällt mir“

Ein Vorteil dem hier keine Beachtung geschenkt wird, ist das Verwenden des Passworts in der Öffentlichkeit bzw. in der Gegenwart von weiteren Personen. Mit einem zweiten Faktor der nur kurzzeitig gültig ist, kann ein potentieller Angreifer auch keinen Zugriff erhalten wenn er zuschaut, wie man das Passwort eingibt.

darum blogge ich, denn leider hat unser Schul- und Ausbildungssystem es nicht geschafft, ein klein bisschen Grundwissen zur Allgemeinbildung zu erklären. Stattdessen hangelt man sich gerne von einer unbefriedigenden Lösung zur nächsten.

Das ist zum einen nicht nur ein Problem hier sondern auch am anderen Ende der Welt und du hast sicher so wie ich auch in der Schule erlebt wie Computer ganz langsam eingeführt wurden (bei uns mit Apple II Clones) und jetzt mal Hand aufs Herz: Seit wann schenken wir hier auf dem Planeten Erde eigentlich den Passwörtern an sich und der Qualität im speziellen Beachtung? Das kommt mir gefühlt wie gestern vor.

Eine definitiv große Baustelle und da muss weiterhin was gemacht werden, aber das ist eine echte Sisyphusarbeit und man braucht eine langen Atem. Und da würde ich nicht hingehen wollen und sagen: „Hey, wenn ihr es kapiert habt, super Passwörter habt und die wie euren Augapfel hütet dann braucht ihr kein MFA“.

1 „Gefällt mir“

nicht ganz. Die Schule hatte Commodore, ich einen Apple II.

schon an der Uni beim Zugang zu allem was > PC war. Für die breite Masse wohl mit dem Aufkommen von Email.

warum nicht? Ich habe beim Schreiben meines neusten Artikels dauernd gedacht, die verarschen uns weiter.

Nein, die bessere Lösung wären Client-Zertifikate, und so viele unterschiedliche wie ich will. Hatte SAP schon vor zwanzig Jahren, wurde wieder ausgebaut. Passkey geht in die richtige Richtung, aber nur wenn es nicht an irgendeinem Fido-Key hängt von dem ich keine Sicherung machen kann.

Klar, dass man Geheimnisse jeder Art sicher aufbewahren muss. Aber hat man das einmal verinnerlicht, dann wird die Welt wieder einfacher. Wobei diese Erkenntnis nicht neu ist, warum ist das digital schwieriger als analog?

Mein Hauptproblem mit dem zweiten Faktor ist, dass bei Konten für Endverbraucher oft die Telefonnummer als zweiter Faktor verlangt wird. Leider ist mein Vertrauen sehr gering, dass diese Nummer dann nur dafür verwendet wird.

1 „Gefällt mir“

die hat gleich mehrere Probleme: Als Familienmitglied oder sonst nahestehender kann man leicht an die SIM kommen, Leute wie ich wechseln auch gerne mal den Mobilfunkanbieter, und das Telefonsystem (SS7) ist nicht bekannt für Sicherheit.

Bei der Gelegenheit: ich habe einige Kritikpunkte auf https://blog.lindenberg.one/SicherheitsUnsinn#MultiFaktorAuthentifizierung(MFA) zusammengetragen.

Mir fehlt bei der Diskussionen noch ein weiterer Punkt.

Was ist wenn der Anbieter gehackt wurde und ,warum auch immer, der Benutzername und das Passwort im Klartext geklaut wurden?
Da bin ich über 2FA mittels APP sehr froh.

Ist doch schon ein paar mal vorgekommen.

3 „Gefällt mir“

Passwörter zur Überprüfung dürfen nach dem Stand der Technik nicht im Klartext gespeichert werden. Normalerweise geschieht das salted+hashed. Wenn der Anbieter schon das nicht hinbekommt, traust Du ihm zu das Shared-Secret der MFA geheimzuhalten?
Solche Anbieter (wenn sie entlarvt werden gehören geächtet und in Regress genommen.

MFA soll verhindern, das ein Angreifer - wenn er das Passwort kennt - einen Account nutzen kann.

Beispiel das häufig vorkam:
Angreifer kompromittiert eine Webseite und greift das Passwort, das der Nutzer (oder der Passwort Manager) in das Feld einträgt, ab.

Durch den 2. Faktor bekommt der Angreifer dann, trotz bekanntem Passwort, keinen Zugriff auf den Account.

Die Qualität des Passworts spielt hierbei keine Rolle.

Weiteres Szenario waren die typischen Passwort-Recycler (1 Passwort für mehrere Dienste).
Da konnten Angreifer dann mit einem erbeuteten Passwort auch Zugriff zu anderen Diensten erlangen.

Fazit:
Eine Anmeldung mit MFA ist sicherer als eine, die nur ein Passwort einsetzt.

4 „Gefällt mir“

was meinst Du damit? 1) er hat das System wirklich übernommen oder 2) er hat eine Phishing-Seite unter ähnlicher Domäne nebendran gestellt?

Passwörter im Klartext … ja … ein in Deutschland ansässiger Anbieter von Foren hat bis vor glaub ich 2 oder 3 Jahren noch die Passwörter im Klartext gespeichert und wenn man das vergessen hatte, dann hat man eben sein Password wieder zugeschickt bekommen. OK, bei Foren ist es jetzt nicht so kritisch solange man kein Passwordrecycling macht.

Aber es geht noch besser, wenn auch auf der anderen Seite der Erdkugel: Eines der besten Krankenhäuser in einem Südamerikanischen Land speichert Passwörter auch im Klartext ab und sendet die bei der Passwortwiederherstellung zu. Selbstredend werden alle medizinischen Befunden der Labors so „geschützt“. Noch Fragen? Ach so, beschweren und dass dann das Krankenhaus was ändert? Die Zeit kann man sich sparen und besser die schönen Landschaften anschauen, das entspannt vor allem.

1 „Gefällt mir“

Für die meisten Durchschnittsuser (kurze, unsichere und mehrfach verwendete Passwörter) ist MFA in jeder Form (jedenfalls soweit Stand der Technik) ein erheblicher Sicherheitsgewinn.

Wenn man jedoch sichere Passwörter verwendet und im Regelfall nicht auf Phishing-Seiten reinfällt (wer behauptet, er würde niemals auf Phishing reinfallen, ist naiv), ist MFA in den meisten Fällen entbehrlich.

Ob und in welchem Umfang MFA gegen Phishing schützt, hängt von der verwendeten MFA-Methode und den Umständen ab. MFA-Methoden, die auf die Eingabe eines zusätzlichen Einmalpasswortes setzen, sind grundsätzlich für Phishing anfällig. Hier kann MFA aber zumindest eine Mehrfachnutzung des Passworts verhindern, für jede neue Legitimierung muss der Angreifer das Opfer erneut dazu bringen, ein gültiges OTP zu generieren und in den Machtbereich des Angreifers gelangen zu lassen.
Mit CTAP (z. B. im Rahmen von FIDO2) gibt es andererseits aber durchaus auch Auth-Methoden, die nach allgemeinem Verständnis als „phishing-resistent“ geltend können.

das lehne ich ab, weil ich keine Lust habe bei 200+ Anbietern mehrere Keys zu registrieren, wenn es beim Passwort-Manager reicht, Backups zu haben (und bevor das in Frage gestellt sind, die sind verschlüsselt und auch außer Haus).
Passkey ohne FIDO steht auf meiner Todo-Liste, spätestens wenn das bei Banken geht (und ohne den dannn unnötigen 2. Faktor) werde ich rangehen.

Mit dieser Einstellung wird die Lage nie besser. Welche Erfolgschancen Du in Südamerika hast weiß ich nicht, aber in Europa schon, selbst wenn man in Deutschland leider oft ein Verwaltunsgericht bemühen muss, um der Aufsicht Beine zu machen, wie z.B. in https://blog.lindenberg.one/SicherheitsUnsinn#VerschlusselungVonCoronaSchnelltestergebnissenMitDemGeburtsdatum

Zustimmung, aber: Das ist bei mir keine Einstellung, sondern eine Situations- und Ortsbezogene Erfahrung. Zudem geben die Gesetze es nicht her, dort jemanden für das oben geschilderte anzuzeigen, und Kultur / Wissen im Umgang mit Digitalisierung fördern nicht den Widerstand gegen Missstände

Wobei man fairerweise sagen muss, dass viele derer die im letzten Jahrhundert in Deutschland gegen die Volkszählung auf die Straße gegangen sind heute ihre persönlichsten Daten freizügig preisgeben.

Ich könnte dir noch zig Geschichten erzählen, wo du aus dem Staunen nicht mehr rauskommen würdest, nur soweit: Mein Dozent für das Thema hat das Land als Data Mining Paradise bezeichnet.

Und ja: Es ist massivst traurig. Mein Versuch dort andere Menschen zu der Nutzung eines Passwordmanagers zu bewegen sind grandios gescheitert, weil es bereits an Einsicht der Notwendigkeit gefehlt hat.

bin immerhin alt genug um schreiben zu können, dass ich nicht gezählt sondern geschätzt wurde und immernoch Widerstand leiste.

Zurück zum Thema MFA.
Ich verstehe die ganze Diskussion nicht.
Was hat denn die Länge oder Komplexität eines Passworts mit MFA zu tun?
Wenn der Client mit Malware befallen ist, die das Passwort mitliest, hilft auch ein kilometerlanges PW nichts.
Wenn im Browser ein böses AddOn das PW auf dem Weg ins Login-Fenster im Klartext mitliest, dann hilft auch ein hochsicherer PW-HardwareToken nichts. Und das Salzen und Hashieren am Server erst recht nicht.

Es war schon immer eine gute Idee, sich in Fragen der Security nicht auf eine einzige Maßnahme zu verlassen, sondern (entsprechend den verschiedenen Angriffsmöglichkeiten) mehrere Hürden aufzubauen.
Kann eine Hürde übersprungen werden, muss man sie erhöhen. Kann sie umgangen werden, muss man eine zweite, dritte, … Hürde aufbauen.

In diesem Sinne ist MFA eine ziemlich geniale weitere Hürde, die Sicherheit bietet, wenn ein (langes) Passwort geleakt worden ist.

2 „Gefällt mir“

Es war wohl so gemeint, daß MFA kein Ersatz für ein starkes Passwort sein soll und der Schutz gegen Phishing überschaubar ist.
Ich nutze sehr robuste Passwörter und für die sensiblen Accounts auch 2FA, einfach um bei einem kompromittierten Gerät die Chance zu haben von einem sauberen Gerät aus die Zugangsdaten zu ändern.

Die meisten Phishing-Mails sind leicht zu erkennen, ich hatte insgesamt zwei Fälle in denen mir die Phishing-Mail plausibel genug erschien um mich zu beunruhigen. Man darf eben nicht den Fehler begehen und Links aus der Mail folgen, sondern selbst den betroffenen Account besuchen um zu überprüfen, ob es irgendwelche Probleme gibt .

Viele Anbieter verlangen das nur solange kein anderer zweiter Faktor hinterlegt ist.

Es gibt keine Passkeys ohne FIDO2. Passkey sind FIDO2 mit discoverable credentials.

Du vergisst, dass ein Großteil der digital aktiven Leute in die Schule gegangen sind, als Computer noch nicht zum Allgemeingut gehörten, „online“ noch ein Wort ohne Bedeutung war und cloud einfach nur eine Wolke war, aus der es auch regnen konnte. Kurz: Diejenigen, die keine „digital natives“ sind, konnten das alles gar nicht in der Schule lernen.
Als ich mein Abitur machte, gab es den ZX81 und den C64 in den Kinder- und Jugendzimmern, wenn überhaupt. Passwörter? Gab es nicht. Dinge wie Phishing sowieso nicht. Ich stehe mitten im Berufsleben, der Computer ist Alltagswerkzeug, auch privat ist man ständig online, E-Mail, Einkaufen, Steuererklärung, alles Online. Das musste ich mir selbst beibringen und kann es halt so gut, wie ich es kann. Andere in meinem Alter geht es ähnlich, älteren Leuten sowieso. Dem Schulsystem hier die Schuld zu geben, ist zu kurz gesprungen. Schaut man sich die Altersverteilung hierzulande an, sind 25 Prozent der Bevölkerung im Alter von 14 bis 40 Jahre, 48 Prozent sind über 40 Jahre alt. Sprich: über 40 Prozent der Bevölkerung konnte den Umgang mit Online-Diensten nicht in der Schule lernen.
Wenn Online-Dienste lange und komplexe Passwörter forcieren, haben wir schon eine Menge gewonnen. Das Problem des Passwort-Recyclings kann dann durch MFA durchaus entschärft werden.

2 „Gefällt mir“