Google vereinfacht die Einrichtung der 2-Faktor-Authentifizierung
Google hat eine Neuerung angekündigt: Der Aktivierungsprozess für die Zwei-Faktor-Authentifizierung (2FA) wird für persönliche und Workspace-Konten vereinfacht. Die Methode bietet eine zusätzliche Sicherheitsebene gegen Übernahmeangriffe bei gestohlenen Passwörtern.
Die Neuerung bei Google beinhaltet die Einführung einer zweiten Methode, wie etwa einer Authenticator-App oder eines Hardware-Sicherheitsschlüssels, bevor die Zwei-Faktor-Authentifizierung (2FA) aktiviert wird. Dadurch entfällt die Notwendigkeit der weniger sicheren SMS-basierten Authentifizierung.
„Besonders hilfreich ist dies für Unternehmen, die Google Authenticator (oder ähnliche zeitbasierte Einmalpasswort-Apps) nutzen“, so das Unternehmen. „Früher mussten Nutzer die 2-Step Verification (2SV) mit einer Telefonnummer aktivieren, bevor sie den Authenticator hinzufügen konnten.“
Nutzer mit Hardware-Sicherheitsschlüsseln haben zwei Möglichkeiten, diese mit ihren Konten zu verknüpfen: entweder durch Registrierung eines FIDO1-Berechtigungsnachweises auf dem Hardware-Schlüssel oder durch Zuweisung eines Passkeys (also eines FIDO2-Berechtigungsnachweises).
Google betont, dass für Workspace-Konten möglicherweise weiterhin die Eingabe von Passwörtern zusammen mit dem Passkey erforderlich ist, sofern die Verwaltungsrichtlinie „Nutzern das Überspringen von Passwörtern bei der Anmeldung durch Verwendung von Passkeys erlauben“ nicht aktiviert ist.
Ein weiteres bemerkenswertes Update ist, dass Benutzer, die selbst 2FA in ihren Kontoeinstellungen deaktivieren, nicht mehr automatisch ihre registrierten zweiten Schritte entfernen lassen.
„Wenn allerdings ein Administrator 2SV für einen Nutzer über die Admin-Konsole oder über das Admin-SDK deaktiviert, werden die zweiten Faktoren wie bisher entfernt, um sicherzustellen, dass die Arbeitsabläufe etwa beim Ausscheiden der Mitarbeiter nicht beeinträchtigt werden“, so Google.
Die jüngsten Entwicklungen gehen mit einem deutlichen Anstieg der Nutzung von Passkeys für passwortlose Authentifizierung einher. Laut Google betrifft das über 400 Millionen Google-Konten.
Moderne Authentifizierungsmethoden und -standards wie FIDO2 wurden entwickelt, um Phishing- und Session-Hijacking-Angriffe zu bekämpfen, indem sie kryptografische Schlüssel nutzen, die von Smartphones und Computern generiert werden und mit diesen verbunden sind. Auf diese Weise werden Nutzer verifiziert, ohne dass Passwörter verwendet werden müssen, die leicht durch Credential Harvesting oder Stealer-Malware gestohlen werden können.
Eine neue Studie von Silverfort hat herausgefunden, dass Bedrohungsakteure FIDO2 umgehen können, indem sie einen Adversary-in-the-Middle (AitM)-Angriff durchführen. Dieser Angriff zielt darauf ab, Benutzersitzungen in Anwendungen zu kapern, die Single-Sign-On (SSO)-Lösungen wie Microsoft Entra ID, PingFederate und Yubico nutzen.
„Bei einem erfolgreichen MitM-Angriff wird der gesamte Inhalt des Authentifizierungsprozesses offengelegt“, erklären Sicherheitsforscher bei Silverfort. „Nach Abschluss des Angriffs kann der Angreifer das generierte Status-Cookie übernehmen und die Sitzung des Opfers übernehmen. Einfach ausgedrückt, findet nach Abschluss der Authentifizierung keine Validierung durch die Anwendung statt.“
Dieser Angriff wird dadurch ermöglicht, dass die meisten Anwendungen die nach erfolgreicher Authentifizierung erstellten Sitzungs-Tokens nicht ausreichend schützen, was es einem Angreifer ermöglicht, unbefugten Zugriff zu erlangen.
Zusätzlich wird das Gerät, das die Sitzung anfordert, nicht überprüft. Das heißt, jedes Gerät kann das Cookie verwenden, solange es gültig ist. Dadurch können Angreifer den Authentifizierungsschritt umgehen, indem sie das Cookie mittels eines AitM-Angriffs (Adversary-in-the-Middle) stehlen.
Um sicherzustellen, dass die authentifizierte Sitzung nur vom richtigen Gerät verwendet wird, gibt es eine Technik namens Token-Binding. Diese erlaubt es Anwendungen und Diensten, ihre Sicherheits-Token kryptografisch an die TLS-Protokollschicht zu binden.
Aktuell ist Token-Binding nur in Microsoft Edge verfügbar. Vor wenigen Wochen hat jedoch auch Google für Chrome eine entsprechende Funktion angekündigt. Sie soll Device Bound Session Credentials (DBSC) heißen und ebenfalls Nutzer vor dem Diebstahl von Sitzungs-Cookies und Hijacking-Angriffen schützen.