Keine Sicherheit: Zwei-Faktor-Authentifizierung automatisiert hacken
Viele Nutzer vertrauen auf die Zwei-Faktor-Authentifizierung. Mit Muraena und NecroBrowser lässt sie sich jedoch einfach hacken, wie die neue Oktober-iX zeigt.
Jeder Nutzer kennt die Aufforderungen: Zur Sicherheit soll man seine Handynummer als zweiten Faktor hinterlegen. Auch im Büro genügt ein Passwort alleine meist nicht mehr, um sich anzumelden – hier hat sich die Zwei-Faktor-Authentifizierung (2FA) mit PINs, TANs und Token gleichermaßen durchgesetzt. Zu Unrecht, erklärt Richard Gold in der aktuellen iX 10/2019.
Zwar hat die 2FA einen guten Ruf, doch fast alle Verfahren lassen sich überlisten – und auch automatisch, weil systemische Fehler vorhanden sind. Hierfür gibt es derzeit ein Toolkit von Sicherheitsexperten: Muraena und NecroBrowser umgeht die 2FA und automatisiert Phishingangriffe größtenteils. Entsprechend überraschte es nicht, dass Hacker das Konto des Twitter-CEOs Jack Dorsey trotz aktiver Zwei-Faktor-Authentifizierung übernehmen konnten.
Bloß U2F und FIDO2 lassen sich mit Muraena und NecroBrowser nicht aushebeln. Das liegt unter anderem daran, dass sie den Server mit kryptografischen Methoden authentifizieren. Alle Details zur mangelnden Sicherheit der 2FA finden Interessierte im Artikel.
Siehe dazu auch:
- Sicherheit: Muraena und NecroBrowser hacken Zwei-Faktor-Authentifizierung, iX 10/2019, S. 96
(fo)
