Aktualisierungen als RSS-Feed oder
auf unserem Twitter Account @PrHdb

Privacy-Handbuch

Einige Webdienste bieten Zwei-Faktor-Authentifizierung (2FA) als Alternative zum einfachen Login mit Username/Passwort an. Die Webseite USB-Dongle Authentication bietet eine Übersicht zu Webdiensten, die OTP und U2F für den sicheren Login unterstützen.

Bei der Zwei-Faktor-Authentifizierung muss man als ersten Faktor in der Regel ein Wissen nachweisen (Passwort, Pin o.ä) und als zweiten Faktor den Besitz eines kleinen Gerätes (OTP-Generator o.ä.) oder eine Chipkarte wie bei Bankaccounts. Das Verfahren ist durch Nutzung von EC- und Kreditkarten jedem bekannt. Internet verwendet man statt Chipkarte meist One-Time-Passwort Generatoren (OTP) oder SecuritySticks (U2F).

Wenn ein Angreifer durch Phishing, Videoüberwachung oder mit einem Keylogger den Usernamen und das Passwort für einen Account erbeutet, dann sollte es ohne den zweiten Faktor wertlos und nicht nutzbar sein. Das Passwort wird damit nicht überflüssig, es muss aber kein hoch-komplexes, sicheres Passwort mehr sein. Eine 6-stellige Zahlen­kombination ist nach NIST Special Publication 800-63B für 2FA ausreichend.



One-Time-Passwort (OTP): Bei der Zwei-Faktor-Authentifizierung mit zusätzlichem One-Time-Passwort besteht das Passwort aus zwei Komponenten. Der erste Teil ist üblicherweise ein n-stellige PIN, die man wissen muss. Der zweite Teil ist das One-Time-Passwort. Es wird von einem kleinen Spielzeug geliefert und ist nur einmalig verwendbar.

OTP schützt nicht bei Einbrüchen auf dem Server. Da bei OTP der Server und Client den gleichen Algorithmus zur Berechnung und Verifizierung des One-Time-Passworts ausführen, kann ein Angreifer bei einem erfolgreichem Einbruch auf dem Server die Parameter auslesen und könnte somit auch gültige One-Time-Passwörter berechnen.

Es gibt mehrere Verfahren für One-Time-Passwörter:

SecurityStick (U2F): ist ein kryptografisches Privat/Public Key Verfahren zur Authentifizierung mit einem kleinen SecurityStick (z.B. Nitrokey U2F oder verschiedene Yubikeys), dass im Okt. 2014 standardisiert wurde. Im Gegensatz zu OTP schützt U2F auch bei Einbrüchen auf dem Server und bei der Eingabe des Passwortes auf Phishingseiten.

Das Verfahren läuft im Hintergrund automatisch ab, man muss nur den Security­Stick vor dem Login anschließen. Der Server sendet ein zufälliges Challenge an den Client (Browser), der Browser gibt diesen Input zusammen mit der URL an den SecurityStick weiter, der mit einem geheimen Schlüssel eine Signatur über diese Daten berechnet. Diese Signatur wird als Response an den Server zurück gesendet und kann dort mit dem passenden public Key verifiziert werden.

U2F muss vom Browser und vom Webdienst unterstützt werden. Bisher bietet nur Google Chrome nativen Support für U2F. Mozilla arbeitet an einer Implementierung für Firefox. Bisher gibt es für Firefox das U2F Support Add-on, das den Browser mit U2F-Support aufmotzt.



VerificationCode: nutzt SMS. SMS-basierte Verfahren zur Authentifizierung gelten als nicht mehr sicher. Es gibt mehrere Publikationen zu dem Theme. Das NIST empfiehlt, SMS nicht mehr als 2. Faktor fir die Authentifizierung zu nutzen. 
Out of band verification using SMS is deprecated, and will no longer be allowed in future releases of this guidance. (NIST Special Publication 800-63B)



ePerso: In Auswertung des US-Wahlkampfes 2016 und dem erheblichen Einfluss von gehackten E-Mail Accounts auf das Wahlverhalten der amerikanischen Bevölkerung hat die Bundesregierung die Cyber-Sicherheitsstrategien überarbeitet. Nach Ansicht der Bundes­regierung ist die Sicherheit mit dem klassischen Benutzername/Passwort-Verfahren nicht mehr gegeben. Im Rahmen Cyber-Sicherheitsstrategien will die Regierung die Bürger stärker zur Nutzung der Onlineausweisfunktion des Personalausweises animieren.

Bezüglich des klassischen Benutzername/Passwort-Verfahren stimmen wir mit der Bundes­regierung überein. Wir empfehlen aber die Onlineausweisfunktion des ePerso nicht. Statt dessen sollte man Hardware Token nutzen, die nicht an eine ID-Karte gebunden sind und vollständig durch den Nutzer konfiguriert werden (z.B. Nitokey oder Yubikey o.ä.)
Lizenz: Public Domain