Sicherheit beim inWebo Authentifizierungsservice

Warum ist MFA Sicherheit überhaupt eine Frage?

Eine Authentifizierungslösung soll den Zugriff auf Ihre Anwendungen sicherer machen als bei der Verwendung von Passwörter. Daher konzentrieren sich Angreifer, die Zugriff auf Ihre Anwendungen erhalten möchten, höchstwahrscheinlich mit ihren Angriffen auf diese Lösungen. Es gibt zahlreiche Beispiele für Authentifizierungslösungen wie MFA, Single Sign-On und Passwort-Manager, die in den letzten Jahren kompromittiert wurden.

Was könnte bei einer MFA-Lösung schiefgehen?

2FA security issues and options  

Eigentlich können viele Dinge schiefgehen! Angriffe, die vor 5 Jahren nur theoretische Möglichkeiten darstellten, werden nun routiniert und erfolgreich eingesetzt. Es lohnt sich also zu überprüfen, ob die von Ihnen in Betracht gezogene MFA-Lösung mehr als nur einem Standard entspricht. In Bezug auf Sicherheit sind MFA-Standards und Empfehlungen nur der Ausgangspunkt der Reise. Schlechte Implementierung, fehlende oder unvollständige Risikoanalyse oder einfach die Unzulänglichkeit des Sicherheitsziels einer Lösung können eine “konforme 2-Faktor-Lösung” buchstäblich weniger sicher machen als eine passwortbasierte Authentifizierung. Lassen Sie uns einige häufige Probleme mit MFA auflisten. Vielleicht sagt Ihnen Ihre Risikoanalyse, dass einige dieser Risiken für Ihr Unternehmen tatsächlich hinnehmbar sind, aber Sie sollten vorbereitet sein und eine Lösung finden, die die Risiken für Ihr Unternehmen mindert.

SMS OTP ist unsicher

Dies ist ein gut dokumentierter Klassiker. In Carrier-Netzwerken in denen Kurztext-Nachrichten übermittelt werden, können Angreifer, mit Hilfe von Social Engineering, Malware oder Hacking im SS7-Netzwerk, SMS OTP an ihr Telefon umleiten und sich so als Benutzer ausgeben. Bisher gibt es keine Lösung um das zu verhindern. Regierungsbehörden wie NIST haben daher SMS OTP jetzt in die schwarze Liste der Authentifizierungslösungen aufgenommen.

[inWebos Antwort] Der kombinierte Einsatz unserer 2FA-Optionen wie inWebo Authenticator und Virtual Authenticator macht SMS-OTP überflüssig, außer in sehr seltenen Fällen, die 99% unserer Kunden nicht benötigen. Kontaktieren Sie uns und unsere Lösungsexperten erläutern Ihnen wie Sie MFA für Mitarbeiter oder Kunden ohne SMS-OTP implementieren können. Die Alternativen sind nicht nur sicherer, sie sind auch benutzerfreundlicher und sehr wahrscheinlich günstiger.

Phishing und Man-in-the-middle Attacken (MITM)

Der Benutzer wird dazu verleitet, eine Website zu besuchen oder eine App herunterzuladen, die wie die echte Website oder App aussieht. Diese Website oder App erstellt eine Back-to-Back-Sitzung mit der realen Website oder App. Hardware-Tokens Lösungen wie “Keyfobs” oder OTP-Displays auf Kreditkarten sind anfällig, genau so wie SMS-OTP und Push-basierte Benachrichtigungen . Mit den erwähnten Verfahren (Token, SMS-OTP) wird das OTP erfasst und für die Sitzung des Angreifers wiederverwendet. Bei Letzteren (Push-basierte Benachrichtigungen) wird nichts erfasst, aber der Benutzer autorisiert die falsche Sitzung von seinem Smartphone aus, die vom Angreifer eingerichtet wurde.

Während vor ein paar Jahren der Hauptgrund für die Implementierung von MFA schwache Kennwörter waren, ist Phishing das eigentliche Problem geworden, da es jetzt mit Back-to-Back-Sitzungen (MITM) verwendet wird. KEINE der beliebten MFA-Lösungen wie Hardwaretoken, SMS-OTP und Push-basierte Benachrichtigungen verhindern diese Angriffe. Diese Lösungen vermieden nur Angriffe, die in den Jahren 2005-2010 entwickelt wurden.

[inWebos Antwort] inWebo browserbasierte Authentifizierungsmethoden (Virtual Authenticator und inWebo Helium) überprüfen die Webseite und die Domäne, in der sie ausgeführt werden. Zusätzlich besteht die Option, das SSL-Zertifikat dieser Domäne zu verifizieren (“Certificate pining”). Wenn die Domäne nicht korrekt ist, wird kein OTP erstellt. inWebo browserbasierte Authentifizierungsmethoden sind die einzigen MITM-resistenten Methoden auf dem Markt, die keine Hardware-Tokens benötigen.

Benutzeranmeldeinformationen stehlen

Soft-Token haben keine sicheren Elemente, daher ist es relativ einfach auf die Authentifizierungsdaten zuzugreifen. Dies reicht normalerweise aus, um eine 2-Schritt Authentifizierung zu unterbrechen. Mit einem 2-Faktor ist ein zusätzlicher, aber dennoch einfacher Schritt erforderlich, um das Benutzergeheimnis zu erzwingen, auch wenn es nicht in irgendeiner Form mit dem Soft-Token gespeichert ist.

[inWebos Antwort] Wir haben Authentifizierungsalgorithmen entwickelt und patentiert, die zufällige dynamische Schlüssel verwenden. Diese Schlüssel werden ständig auf vertrauenswürdigen, registrierten Geräten aktualisiert, wodurch die Versuche eines Angreifers, ein gültiges OTP zu erstellen, oder per Brute-Force eine PIN zu erraten, sinnlos werden.

Solange Benutzergeräte nicht mit einem hardwaresicheren Element ausgestattet sind, ist der inWebo-Ansatz universeller (unterstützt 100% der Benutzergeräte ohne zusätzliche Hardwarekosten) und was am wichtigsten ist, viel sicherer als der Ansatz, der darin besteht den privaten Schlüssel in den Geräten des Benutzers zu speichern (z.B. FIDO). Private Schlüssel müssen mit einem hardwaresicheren Element geschützt werden, was bei den meisten Benutzergeräten immer noch fehlt, während inWebos zufällige dynamische Schlüssel keinen hohen Schutz erfordern. Der hybride Ansatz von inWebo bietet das Beste aus beiden Welten: sehr hoher Schutz der Benutzeranmeldeinformationen nach FIDO-Standard für Geräte mit einem integrierten Hardware-Sicherheitselement und universelle Unterstützung von Benutzergeräten mit einem hervorragenden Schutz der Benutzerkonten dank der zufälligen dynamischen Schlüssel.

Anmeldeinformationsdatenbank hacken

Dies ist der effizienteste, aber nicht der einfachste Angriff. Wenn der Angreifer über die Anmeldeinformationen verfügt, kann er sich als beliebiger Benutzer ausgeben. Authentifizierung basierend auf PKI ist nicht anfällig, da es keine zentrale Anmeldeinformationsdatenbank gibt.

[inWebos Antwort] Unsere Anmeldeinformationsdatenbank ist mit Schlüsseln verschlüsselt, die in zertifizierten Hardware Security Appliances (HSMs) erstellt und gespeichert werden. Die Authentifizierungsalgorithmen und -Prozesse werden in einer sicheren Umgebung, im HSM, ausgeführt. Die Schlüssel, die für die Verschlüsselung der Daten verwendet werden, können nicht exportiert werden. Sie können übrigens von niemanden, nicht einmal von unseren Mitarbeitern entwendet werden. Selbst wenn ein Angreifer, der unsere Server hacken würde, hat Zugang zu den Anmeldeinformationen. Nur ein vertrauenswürdiges Gerät eines berechtigten Benutzers kann ein gültiges OTP erstellen, um auf seine Konten zuzugreifen.

Ja-Karte-Angriff

Dies ist die bequeme Version des Datenbank-Hacks. Anstatt gehackte Anmeldeinformationen zu verwenden, um gültige OTPs zu fälschen, hackt der Angreifer den Authentifizierungsserver so, dass er jedes OTP überprüft, ob korrekt oder nicht, und somit die Anwendung täuscht. Der Angriff kann nur auf einige Konten abzielen und bleibt daher unbemerkt, selbst wenn der Kunde absichtlich ungültige OTP-Anfragen für Testkonten sendet.

[inWebos Antwort] InWebo-zertifizierte Hardware Security Appliances (HSMs) können das Authentifizierungsergebnis, zusammen mit einigen zufälligen Daten, mit einem privaten Schlüssel signieren. Dies ist ein Echtzeit-Beweis dafür, dass der inWebo-Authentifizierungsdienst nicht kompromittiert wurde.

Recovery-Channel-Angriffe

Dies umfasst das Zurücksetzen von Authentifizierungsdaten, normalerweise mithilfe von Social Engineering. Ein solcher Angriff ist normalerweise mit 2-Faktor-Authentifizierung schwieriger durchzuführen als mit 2-Schritt Authentifizierung.

[inWebos Antwort] Alle Wiederherstellungskanäle bei inWebo verwenden 2FA. Wenn einer der Faktoren verloren gegangen ist oder vergessen wurde, kann eine verifizierte E-Mail-Adresse oder Telefonnummer verwendet werden, um einen temporären Wiederherstellungscode zu erhalten. Diese Funktion kann aktiviert oder deaktiviert werden. Der andere Faktor, vertrauenswürdiges Gerät oder Geheimnis, ist dann erforderlich, um den Wiederherstellungsprozess abzuschließen.