Zwei-Faktor-Authentifizierung - Securing the Human
Zwei-Faktor-Authentifizierung - Securing the Human
Zwei-Faktor-Authentifizierung - Securing the Human
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
OUCH! | November 2012<br />
hJ <br />
IN DIESER AUSGABE…<br />
<strong>Zwei</strong>-<strong>Faktor</strong>-<strong>Au<strong>the</strong>ntifizierung</strong>:<br />
• Das Problem<br />
• Die Lösung<br />
• Beispiele<br />
<strong>Zwei</strong>-<strong>Faktor</strong>-<strong>Au<strong>the</strong>ntifizierung</strong> <br />
GASTAUTOR<br />
Fred Kerby, der Gastautor dieser Ausgabe, war früher Manager<br />
für Informationssicherung des Naval Surface Warfare Center<br />
Dahlgreen Division. Heute ist er im SANS Institute<br />
verantwortlicher Tutor für den Kurs "Intro to Information Security"<br />
(Sec301). Fred Kerby lehrt zudem “Information Security<br />
Leadership” (MGT512) und “Security Essentials” (SEC401).<br />
DAS PROBLEM<br />
DIE LÖSUNG<br />
Sogenannte „starke“ <strong>Au<strong>the</strong>ntifizierung</strong>sverfahren nutzen mehr<br />
als eine Eigenschaft, auch „Au<strong>the</strong>ntisierungsfaktor“ genannt.<br />
Sie müssen hier nicht nur etwas wissen (wie z.B. ihr<br />
Passwort), sondern auch noch etwas besitzen (wie z.B. ihr<br />
Mobiltelefon) oder ein individuelles Merkmal (wie z.B. ihren<br />
Fingerabdruck) präsentieren. <strong>Zwei</strong>-<strong>Faktor</strong>-<strong>Au<strong>the</strong>ntifizierung</strong> ist<br />
genau das, wonach es klingt: Sie benötigen zwei dieser<br />
Au<strong>the</strong>ntisierungsfaktoren statt nur einen. Ein gängiges Beispiel<br />
hierfür ist ihre EC-Karte. Um sich am Geldautomaten zu<br />
© The SANS Institute 2012 http://www.securing<strong>the</strong>human.org
OUCH! | November 2012<br />
<strong>Zwei</strong>-<strong>Faktor</strong>-<strong>Au<strong>the</strong>ntifizierung</strong><br />
identifizieren, müssen Sie über ihre EC-Karte verfügen<br />
(Besitz) und ihre PIN kennen (Wissen). Wenn ihre EC-Karte<br />
gestohlen wird, hilft das dem Dieb nichts da er die<br />
notwendige PIN nicht kennt (die sie daher nie auf der Karte<br />
notieren sollten). Durch die Nutzung von 2 <strong>Faktor</strong>en zur<br />
<strong>Au<strong>the</strong>ntifizierung</strong> sind sie besser geschützt als wenn nur ein<br />
<strong>Faktor</strong> genutzt würde.<br />
Online funktioniert <strong>Zwei</strong>-<strong>Faktor</strong>-<strong>Au<strong>the</strong>ntifizierung</strong> ähnlich wie<br />
am Geldautomaten mit der Kombination aus EC-Karte und<br />
PIN. Sie benutzen zunächst wie gewohnt ihren<br />
Benutzernamen und Passwort um auf ihr Benutzerkonto<br />
zuzugreifen. Sobald sie jedoch das korrekte Passwort<br />
eingegeben haben, kommen sie nicht direkt in ihr<br />
Benutzerkonto, sondern es wird ein zweiter<br />
Au<strong>the</strong>ntisierungsfaktor, z.B. ein Prüfcode oder ihr<br />
Fingerabdruck angefordert. Wenn sie nicht über den<br />
passenden zweiten <strong>Faktor</strong> verfügen wird ihnen der Zugang<br />
verwehrt. Dieser zweite <strong>Au<strong>the</strong>ntifizierung</strong>sschritt schützt sie:<br />
Hat ein Angreifer Kenntnis über ihr Passwort gewonnen, sind<br />
sie und ihr Account trotzdem vor dem Zugriff Unbekannter<br />
geschützt, da die Ausführung des zweiten Identifizierungsschrittes<br />
durch den Angreifer nicht erfolgen kann.<br />
BEISPIELE<br />
Lassen Sie uns an einem Beispiel demonstrieren, wie <strong>Zwei</strong>-<br />
<strong>Faktor</strong>-<strong>Au<strong>the</strong>ntifizierung</strong> funktioniert. Einer der meist-genutzten<br />
Onlinedienste ist sicherlich Google Mail. Viele Menschen<br />
melden sich an ihrem Google Konto nur mittels<br />
Benutzernamen und Passwort an. Google bietet mittlerweile<br />
auch einem verbesserten Schutz des Accounts durch <strong>Zwei</strong>-<br />
<strong>Faktor</strong>-Überprüfung an, die Google als <strong>Zwei</strong>-Schritt-<br />
v <br />
Nutzen sie <strong>Zwei</strong>-<strong>Faktor</strong>-<br />
Au<strong>the</strong>ntisierung wo immer<br />
möglich, sie ist eines der<br />
stärksten Verfahren um den<br />
Zugang zu ihren Benutzerkonten<br />
und Informationen zu schützen.<br />
Verifizierung bezeichnet. Dieses Verfahren setzt zwei Dinge für<br />
eine erfolgreiche Anmeldung voraus: ihr Passwort (Wissen) und<br />
ihr Smartphone (Besitz). Um den Besitz des Smartphones zu<br />
beweisen sendet Google ihnen z.B. via SMS einen Einmalcode<br />
zu, den sie in das passende Eingabefeld abtippen müssen. Statt<br />
des (möglicherweise kostenpflichtigen) SMS-Empfangs können<br />
sie jedoch auch eine App installieren, die einen immer nur kurze<br />
© The SANS Institute 2012 http://www.securing<strong>the</strong>human.org
OUCH! | November 2012<br />
<strong>Zwei</strong>-<strong>Faktor</strong>-<strong>Au<strong>the</strong>ntifizierung</strong><br />
Zeit gültigen Einmalcode generiert. So benötigen sie nicht einmal<br />
Mobilfunkempfang, nur ihr geladenes Smartphone. Solange ein<br />
Angreifer keinen physischen Zugriff auf ihr Smartphone hat kann<br />
er sich, auch wenn er Ihr Google-Passwort erraten oder<br />
gestohlen hat, nicht an Ihrem Google-Konto anmelden - ihre<br />
wertvollen Informationen sind somit geschützt. Bedenken sie,<br />
dass diese Prüfcodes nur einmalig verwendbar und nur sehr kurz<br />
gültig sind. Sie müssen diesen zweistufigen Prozess jedes Mal<br />
durchlaufen, wenn sie sich an ihrem Google Konto anmelden<br />
möchten. Die <strong>Zwei</strong>-<strong>Faktor</strong>-<strong>Au<strong>the</strong>ntifizierung</strong> ist zudem nicht<br />
standardmäßig aktiv. Um sie zu aktivieren, melden sie sich an<br />
ihrem Google Konto an, rufen die Kontoeinstellungen auf, wählen<br />
dort den Bereich Sicherheit und folgenden Optionen zur <strong>Zwei</strong>-<br />
<strong>Faktor</strong>-Überprüfung. Andere Onlinedienste bieten ebenso eine<br />
<strong>Zwei</strong>-<strong>Faktor</strong>-<strong>Au<strong>the</strong>ntifizierung</strong> an, so z.B. Dropbox, PayPal und<br />
auch einige Banken. Einige dieser Dienste unterstützen ihr<br />
Smartphone, während andere, wie z.B. PayPal, ihnen ein<br />
spezielles Gerät zur Erzeugung von Einmalcodes zur Verfügung<br />
stellen. Andere Dienste nutzen auch spezielle Geräte zum<br />
Anschluss an den USB-Anschluss ihres Computers, wie z.B.<br />
Yubikey. Wenn ein von ihnen genutzter Onlinedienst eine<br />
Möglichkeit zur <strong>Zwei</strong>-<strong>Faktor</strong>-<strong>Au<strong>the</strong>ntifizierung</strong> anbietet raten wir<br />
dringend dazu, von dieser Möglichkeit Gebrauch zu machen.<br />
Google <strong>Zwei</strong>-<strong>Faktor</strong>-<strong>Au<strong>the</strong>ntifizierung</strong>:<br />
http://preview.tinyurl.com/d5sy3k7<br />
PayPal (und eBay) Sicherheitsschlüssel:<br />
http://preview.tinyurl.com/ye96ef6<br />
Gängige Begriffe der IT Sicherheit:<br />
http://preview.tinyurl.com/7cgcd2c<br />
Tipps zum Thema IT Sicherheit:<br />
http://preview.tinyurl.com/77k4c5j<br />
INFORMIEREN SIE SICH<br />
Abonnieren Sie den monatlichen OUCH! Security Awareness<br />
Newsletter, greifen Sie auf die OUCH! Archive zu und lernen<br />
Sie mehr über SANS Security Awareness Angebote unter<br />
http://www.securing<strong>the</strong>human.org.<br />
DEUTSCHE AUSGABE<br />
OUCH! wurde aus dem Englischen übersetzt von Marek Kreul<br />
WEITERFÜHRENDE INFORMATIONEN<br />
und Eike Dreesen. Beide arbeiten für das CERT eines<br />
deutschen IT-Dienstleisters und haben sich auf IT-Forensik<br />
spezialisiert. Sie haben langjährige Erfahrung im Bereich IT-<br />
Sicherheit und sind mehrfach GIAC zertifiziert.<br />
OUCH! wird vom SANS <strong>Securing</strong> The <strong>Human</strong> Programm herausgegeben und unter der Creative Commons BY-‐‐NC-‐‐ND 3.0 Lizenz <br />
vertrieben. Die Erlaubnis zur Weitergabe dieses Newsletters wird unter Angabe der Quelle, in unverändertem Zustand und für nicht <br />
kommerzielle Zwecke eingeräumt. Für Übersetzungen und weitere Informationen kontaktieren Sie bitte ouch@securing<strong>the</strong>human.org. <br />
+ <br />
Redaktionsleitung: Bill Wyman, Walt Scrivens, Phil Hoffman, Lance Spitzner Übersetzung: Eike Dreesen, Marek Kreul <br />
© The SANS Institute 2012 http://www.securing<strong>the</strong>human.org