Multifaktor-Authentifizierung

nr845h · 24. Oktober 2022 um 18:16

Fortsetzung der Diskussion von Sichere Authenticator-App?:

Die meisten zusätzlichen Authentisierungsfaktoren setzen neben dem Passwort (Faktor: Wissen) auf den Faktor Besitz (TOTP, Hardwaretoken, Push-Benachrichtigungen, …)

Hierbei muss klar sein, dass diese je nach Implementierung einen unterschiedlichen Schutz bieten, so kann

der gestohlenen TOTP Token für ein Zeitfenster von i.d.R. 30 Sekunden verwendet werden, dies ist bei der Verwendung von Push-Benachrichtungen als zweiten Faktor i.d.R. nicht möglich
der per Mail/SMS übertragene einmaltoken auf der Übertragung abgegriffen werden
einen die App-Benachrichtigungen Nachts so lange nerven, dass man einfach zustimmt
…

Bei TOTP aber auch z.B. bei der Push-Benachrichtigung ist es möglich, dass diese Faktoren (Wissen und Besitz) gemeinsam gespeichert werden können.

Wie sinnvoll oder riskant das ist, hängt vom eigenen Bedrohungsmodell ab. I.d.R. verbessert MFA die Sicherheit, wenn man beide Faktoren zusammen speichert besteht im Extremfall entweder der Komplettverlust zum System oder der Vollzugriff durch einen Dritten dem Sicherheits- und Komfortgewinn gegenüber.
Die Gewichtung sollte individuell und auch Systemspezifisch erfolgen, was beim Kuketz-Forum vll. noch i.O. ist, sollte man bei der Bank wohl eher vermeiden.

Tealk · 24. Oktober 2022 um 22:22

Den Satz verstehe ich nicht, welche APP-Benachrichtigung?

nr845h · 25. Oktober 2022 um 06:16

Ich habe den Begriff oben eingeführt als ein möglichen zweiten Faktor

Beispiele wären die Microsoft Authenticator App oder die Nextcloud Benachrichtigung als zweiten Faktor

Ich habe es trotzdem einmal angepasst, ist es so verständlicher?

Tealk · 25. Oktober 2022 um 08:38

Ah ok, ich hätte das einfach als Push-Nachricht beschrieben, ähnelt ja so gesehen Mail oder SMS nur mit einem anderen Medium.

nr845h · 25. Oktober 2022 um 09:27

Da bin ich auf dem schlauch gestanden und habe es entsprechend angepasst.

Tealk · 25. Oktober 2022 um 10:02

Würde das laienhaft so sehen, ohne die Betrachtung von Hard-/Softwareproblemen:

über eine separate Software wäre am sichersten
dann Push, da es auch eine separate Software ist, aber vom Server gesteuert wird
dann das TOP das im PW Safe liegt

nr845h · 25. Oktober 2022 um 10:10

In meinen Augen ist das tatsächlich anders

meine 1 ist

ein externer Hardwaretoken,

dann

da i.d.R. die Schwachstelle ausschließlich der Nutzer z.B. bei MFA-Bombing ist

dann kommt TOTP über

und dann

Noch unsicherer sind dann

Telefonanruf
E-Mail- und SMS-Benachrichtigungen

Tealk · 25. Oktober 2022 um 10:37

Ah stimmt an den hab ich nicht gedacht, weil der so wenig unterstützt wird.

Hätte jetzt eher gesagt das man einen Push eher abfangen kann, wenn das einfach offline in einm eigenen Safe liegt.

nr845h · 25. Oktober 2022 um 11:15

In meinen Augen ist weniger das Abfangen das Problem (höchstens bei Banking Sachen) sondern eher die Frage der Gültigkeit und wie diese verwendet werden kann.

TOTP ist zwar lokal, aber ist halt für den kompletten Zeitrahmen gültig, der Ausgangstoken kann repliziert werden usw.