Hadmut Danisch
Ansichten eines Informatikers

Two-Factor-Authentication

Hadmut
19.11.2023 13:52
Uncategorized

Ein Leser fragt an.

Was ist Deine Ansicht als Informatiker zum Thema Two-Factor-Authentication und dessen reale Auswirkung auf die persönliche Freiheit und Datenschutz?

Im Abhang mein Einlassungen dazu, die ich Dir gerne “aufzwingen” möchte. Wahrscheinlich ist Dir einiges schon bekannt, oder selbst bewußt geworden, wie problematisch TFA in den Händen weniger Mächtiger Digitalkonzerne und pseudodemokratischer Staaten ist?

und weiter

Zwei-Faktor Authentisierung (TFA) – In der Hand der globalen Technokraten ein Instrument der globalen Bespitzelung, Manipulation und Verfolgung. Vorbereitung für ein globales konzerngesteuertes Social-Credit System.

Wem ist es auch aufgefallen, wie sehr mittlerweile die Zweifaktor-Authentisierung Verbreitung bei der Nutzung digitaler Dienste gefunden hat? Die Nutzung ist an einen “herangekrochen” und zwar aus der Richtung Google und Microsoft, Apple.

Eine Anmeldung bei Ebay, Microsoft, Google, Amazon, irgendeinem Shop, die Teilnahme an einer Umfrage, der Zugriff auf das eigene Email-Konto, die Anmeldung in der Kundenverwaltung des Energielieferanten, des Internetanbieters, der eigenen Bank – immer muss man eine Zweifaktor-Authentisierung durchlaufen. Hierbei erhält man bei der Anmeldung einen Link per Email zugesendet, der zu öffnen ist, man erhält eine SMS – oder noch aufdringlicher – man benötigt eine eigene App des Dienstleisters auf dem Handy (Beispiel: Microsoft Authenticator), um sich zu legitimieren.

Was einem auch immer wieder passieren kann. Man war bereits angemeldet, aber da man “komische Dinge” macht, wie Cookies im Webbrowser zu unterdrücken, zwischenzeitlich die IP zu ändern, oder an anderer Stelle mit einer Kreditkarte etwas zahlte und zack, man muss sich nochmals legitimieren (“Zu ihrer Sicherheit haben wir Sie abgemeldet, bitte legitimieren Sie sich neu!”), oder (“unsere Sicherheitsmechanismen haben ungewöhnliches Verhalten bei der Nutzung unserer Dienste bemerkt, sie wurden abgemeldet”). Die Krönung (Ebay-Kleinanzeigen: “Von ihrer IP oder ihrem Netzwerk ging Missbrauch unserer Dienste aus. Sie können aktuell Kleinanzeigen nicht mehr nutzen. Warten Sie ein paar Tage, ob sich das Problem löst” – ohne weitere Kontaktmöglichkeit!)

Das Prinzip: “Hallo Freundchen! Nett, dass Du Dich anmeldest, aber da könnte ja jeder behaupten DU zu sein, legitimiere DICH, damit WIR sicherstellen können, dass WIR es mit DIR zu tun haben. Mache das und WIR erlauben Dir, daß Du etwas kaufen, nutzen oder zugreifen darfst. Ausserdem möchten wir und unsere Werbepartner und Dienstleister, mit denen wir Verträge haben ohnehin wissen, wo Du Dich befindest, was Dich interessiert und ob Du gefährlich kritisch und nicht-konform bist.”

TFA wurde dem Nutzer als Sicherheitsgewinn gegen digitalen Identitätsdiebstahl verkauft (was es ja rein technisch betrachtet durchaus sein könnte), aber es ist in der Realität so, daß man durch Nutzung den globalen TFA-Providern erlaubt zu diktieren und zu modellieren, wie die eigene Identität aussieht. Man gibt anderen die Erlaubnis einem selbst im Zweifelsfall eine Nutzung zu verwähren, selbst dann, wenn die Nutzung legitim wäre! Da nützt es nichts am Flughafen wütend mit dem Fuß zu stampfen, weil die Kreditkarte komischerweise nicht “funktioniert”, obwohl alle Konten gedeckt sind.

Als IT-Berater bin ich quasi gezwungen Microsoft-Dienste zu nutzen, da ich sonst beim Kunden nicht arbeitsfähig wäre. Dafür gibt es die MS-Authenticator App auf dem Handy, die einem bis zu mehrere Male am Tag nervt, zu besätigen, daß man auf irgendeinen Dienst zugreifen wollte (auf dem Handy dann bestätigt per PIN oder Fingerabdrucksensor). Gelang die Authentisierung, erfahren die meine aktuelle IP, meinen Ort, und aktualisieren Browser-Cookies, die ich mit mir herumschleppe und ja brauche, um nicht sofort abgemeldet zu werden. (Selbst inaktive Tabs im Browser telefonieren permanent per Javascript heim zu Microsoft und betreiben User-Telemetrie und Profilbildung)

Es wird so laufen:

Keine Dienstleistung, kein Online-Vertragsabschluss mehr ohne (alternativ zusätzliches) TFA und das permanent. Das (verfallende und stets zu erneuernde) Erlaubnis-Token ist permanent mitzuführen und bei Bedarf vorzuzeigen. Wer nicht bereit ist digital die Hosen herunterzulassen, darf nicht mehr mitspielen. Dieses Token wird ein digitaler Passierschein und zentraler Baustein der digitalen Identität und dem geplanten Digitalgeld.

– Alle kleinen Mitspieler mit ihren Services nutzen die TFA-Dienste der großen digitalen Internettechnokratiekonzerne / Globohomo. “Wozu eine eigene Lösung? Hier läuft doch schon alles mit Microsoft?”, oder “Jeder hat doch ein Google-Konto, oder nicht?”

– Bezahlverfahren konzentrieren sich auf wenige Große Anbieter (Amazon, Apple-Pay, vielleicht werden die auch verrechenbar)

– Staaten greifen auf die Erlaubnis-Tokens der TFA-Provider zu. Es wird Meta-Tokens geben, so daß ein Google TFA-Token auch von Microsoft akzeptiert wird, oder von Amazon. Es wird genauso laufen wie jetzt bereits bei einigen Shops: “Wollen Sie per Überweisung oder bequem über Amazon zahlen?”, nur daß es dann heissen wird (gestatten Sie unserem Service den Zugriff auf ihr Personen-Token?)

Schlussendlich ist TFA ein Gefängnisbaustein innerhalb des “Identity Managemt” für ein globales Social-Scoring System: Eine benutzerprofilbildende Erlaubnisverwaltung in der Hand anonymer Fremder.

Am Ende dann:

– Lückenlose Zuordnung von Personen zu ihrer digitalen Identität

– Der nicht löschbare, lebenslang an einem klebende digitale Schatten, der alles beinhaltet, was man jemals besaß, tat oder wo man sich aufhielt. Jeder Aktion, die man startet führt zur Befüllung dieses Schattens mit frischen Daten

– Die Erlaubnisverwaltung in der Hand der Mächtigen und Regierungen, am Ende dann KI-unterstützt. (“Wenn Du raus bist, bist Du draußen und kommst nicht mehr rein”)

– Fehlt als letzter Baustein nur noch die Biometrie, die wir bereits mit den Lichtbildern unserer Ausweise abliefern und die für TFA mandatorisch gemacht werden könnte. (“Bezahlen mit dem Gesicht”)

– Digitalgeld

– Waren selber im Supermarkt scannen

– Scoring, das anders heißen wird und positiv geframed wird. (Vermutung: “Alles wird einfacher/bequem”)

Da fällt mir die dumme Meldung von Microsoft Windows ein, während jemand Windows 10/11 neu installiert hat.. “Wir haben bereits alles in die Wege geleitet, Sie müssen sich um nichts kümmern”

Einerseits sind da gute Gedanken drin, andererseits aber auch ein paar kleinere Fehler.

Zunächst mal: Was ist Two-Factor-Authentication?

In der IT-Sicherheit waren lange Zeit Benutzername und Passwort der Standard zum Einloggen, obwohl allen klar ist, dass das nicht sicher genug ist, weil man sich die Passworte irgendwo merken muss und mit jedem Vorgang des Einloggens sein Passwort auch dem Gegenüber offenbart. Was, wenn das „Gegenüber“ nicht echt ist und das Passwort abgreift? Der ganze Großraum Phishing gehört mit dazu. Passworte sind eben leicht zu kopieren, und das Schlimme daran ist, dass man es auch nicht merkt, weil einem – anders als bei einem gestohlenen Auto oder Fahrrad – ja auch nichts „fehlt“.

Deshalb gibt es schon seit Jahrzehnten die Erkenntnis in der IT-Sicherheit, dass „Wissen“ (wie das Passwort) zum sicheren Einloggen bei weitem nicht reicht, sondern auch Eigenschaften wie Biometrie oder Besitz dazukommen müssen, und dass man nichttransitive, kryptographische Methoden braucht, damit einer, demgegenüber man sich authentifiziert hat, das Geheimnis nicht erfährt, und auch, um Man-in-the-middle-Attacken auszuschließen, bei denen sich einer einfach zwischenschaltet. Im einfachsten Fall kommt zum Wissen des dauerhaften Passwortes noch ein anderes Wissen, wie etwa eine TAN-Liste oder ein One-Time-Passwort, das mit einem Master-Geheimnis oder einem kleinen Gerät (Token) erzeugt wird. Das ist aber auch nicht so toll und schützt auch nicht gut gegen Man-in-the-middle-Attacken oder Seiten-Spoofing. Man kann mit üblichen Phishing-Methoden viele Leute dazu bringen, so ein One-Time-Passwort, oder sogar mehrere, herauszugeben. Deshalb verwenden die Banken das ja auch nicht mehr.

Damit verwandt ist ein Problem, dass ja der, der sich einloggt, normalerweise auch sein Gegenüber, also bei wem er sich einloggt, nicht wirklich authentifiziert (oder es kann), weshalb eine Art der gezielten, nicht-transitiven Authentifikation erforderlich ist. Wenn man sich also als Benutzer A auf der Webseite www.BBB.com anmeldet, deren Besitzer sich nicht auf Webseite www.CCC.com durchanmelden kann, weil die Anmeldung an die Seite gebunden sein soll, die man zu sehen glaubt, also eine Anmeldung nicht scheinbar gegenüber BBB.com, tatsächlich aber gegenüber CCC.com erfolgen kann und so weiter.

Das führt zu einem Problem. Man kennt zwar Methoden, die so etwas leisten. Die kann man aber nicht mehr im Kopf rechnen, das hat mit gaaaanz langen Zahlen zu tun. Man braucht also einen Rechner, der einem das macht. Man könnte zwar einfach den Rechner verwenden, vor dem man sowieso gerade sitzt. Das hat aber den Nachteil, dass dieser Rechner ja auch nicht so sicher ist, und jemand die geheimen Daten rauben könnte, und man auch das Problem hat, die geheimen Daten erst einmal sicher auf diesen Rechner zu bekommen.

Deshalb hat man eine Lösung für diese Probleme: Sogenannte Authentication-Token. Das sind ganz kleine Rechner in Form einer Chipkarte oder eines kleinen USB-Sticks, manchmal auch als Chip im Rechner oder Handy gleich mit eingebaut, in denen das Geheimnis so abgespeichert wird, dass man es nicht mehr herausbekommt, aber es zur Authentifikation „benutzen“ kann.

Das funktioniert recht gut, hat aber auch seine Nachteile:

  • Man muss das Ding dabei haben. Ohne geht’s nicht.
  • Man kann das Ding – im Normalfall, siehe unten – nicht kopieren, denn genau das soll ja verhindert werden. Man kann zwar mehrere von den Dingern parallel benutzen, muss dann aber bei jeder Webseite jeden Token registrieren (was nicht jede Webseite unterstützt).
  • Die sind nicht billig.
  • Man muss Rechner und Token zusammenbringen. Das geht heute meist über USB, aber für das Handy braucht man dann wieder Bluetooth oder NFC. Alles nicht so einfach.

Neulich hat man ein Protokoll entwickelt, um solche Tokens gut zu machen, das FIDO Protokoll. (FIDO = Acronym für „Fast IDentity Online“) Auch als U2F bekannt (Universal Second Factor), weil es zusätzlich zu einem Passwort zu verwenden war. Deshalb war der Stick selbst recht einfach zu benutzen, eigentlich musste man nur eine Taste drücken.

Das war im Prinzip recht gut, weil man den Stick selbst damit anonym halten und sich damit an beliebig vielen Webseiten anmelden konnte, ohne dass der Stick sich verbrauchte, und eigentlich eine ziemlich gute Lösung. Es hat sich aber nicht gut verkauft und etabliert, weil die Einbettung der Software in den Browser noch abenteuerlich und schlecht war.

Und man war damit nicht zufrieden, weil es den Interessen einiger Firmen, darunter Microsoft, nicht so entsprach.

Manche nämlich wollten Passwörter ganz abschaffen. Dafür war ihnen FIDO nicht gut genug, weil FIDO alleine, ohne Passwort, auch nicht sehr sicher ist. Wer einen Stick findet, könnte ihn verwenden. Deshalb wollte man das stärker machen, gleichzeitig aber so, dass sich der benutzer nicht zusätzlich zu U2F noch per Passwort gegenüber der Webseite, sondern nur noch gegenüber seinem eigenen Stick authentifiziert, das dann aber auch biometrisch, etwa per Fingerabdruck.

Außerdem sollte es ein Protokoll geben, um „Sicherheitskopien“ von Sticks zu machen, was ja dem eigentlichen Sicherheitszweck zuwiderläuft. Dadurch kommt auch noch die Anforderung dazu, dass der Stick jetzt Schlüssel verwalten muss, und das nur begrenzt kann, man also auf eine kleine Zahl, etwa 20, Webseiten pro Token beschränkt ist.

Man nannte das FIDO2, und so richtig glücklich war man damit nicht. Manches war besser als bei FIDO, vor allem wurde es besser dokumentiert und standardisiert, die Einbindung in den Browser verbessert, aber es ist ein enormes Sicherheitsrisiko, dass man den Token duplizieren konnte, indem man die Geheimnisse exportiert und in einen anderen Stick importiert. Dahinter steckte vor allem Microsoft, weil Microsoft Passworte gerne abschaffen und durch FIDO2 ersetzen wollte. Weil sie einem aber gleichzeitig „anbieten“ (so ein Angebot, das man nicht ablehnen kann), einem die Schlüssel zu verwalten und bei Verlust Ersatztokens erstellen zu können, ist natürlich der ganze Sicherheitszweck des Sticks zum Teufel, denn wenn man ihn kopieren kann, ist er ja nicht mehr sicher. Schon gar nicht, wenn die Daten, die man dazu braucht, alle im Microsoft-Account in der Cloud gespeichert werden, Microsoft also auf die Geheimnisse zugreifen und Authentifikationen fälschen kann. Das ist nicht nur übel, weil Microsoft nicht vertrauenswürdig ist, sondern weil sie es ja selbst nicht so mit der Sicherheit haben, wie der Vorfall neulich zeigte, bei denen ihnen eine Hackergruppe einen Sicherheitsschlüssel klaute, mit dem man an E-Mail-Konten kam. Da fehlt nicht viel, und Hacker können damit alle Tokens duplizieren und damit den ganzen Sinn und Zweck der Sicherheitstokens konterkarieren.

Irgendwann kam man auf die Idee, dass ein Hemmnis zum großen Einsatz auch der beknackte Name FIDO ist, der sich so amateurmäßig nach Hundefutter und alten Mailboxen anhört. Deshalb hat man dem Rahmenprotokoll den Namen WebAuthn gegeben und den Tokens den Namen Passkey gegeben, damit sich das etwas seriöser anhört.

Deshalb muss man unterscheiden.

Second-Factor-Authentication an sich ist eine gute Sache.

Übel wird erst, was Firmen wie Microsoft daraus machen. Denn die haben – vielleicht gar nicht mal so in böser Absicht, sondern um Ärger und Fehlbedienung zu reduzieren und die Akzeptanz der allgemeinen Nutzerschaft zu verbessern – einige Eigenschaften durchgesetzt, die man als Schwächen dieser Sticks ansehen kann. Nämlich, dass man diese Sticks duplizieren kann und die Daten dazu bei Microsoft liegen. Das ist zwar schön, wenn der Feld-Wald-und-Wiesen-Benutzer seinen Stick verloren oder in der Waschmaschine mitgewaschen hat, aber es ist halt nicht sicher.

Es betrifft aber nun mal nicht den ganzen Begriff und Großraum „Second Factor Authentication“, sondern nur dieses FIDO2-/Passkey-Ding.

Man sollte deshalb das Kind nicht mit dem Bade ausschütten und „Second Factor Authentication“ für schlecht halten, weil manche Hersteller da reinmurksen.

Allerdings sollte man sich auch bewusst machen, wie gefährlich das ist, was Firmen wie Microsoft da durchsetzen.

Gerade dann, wenn etwa die CDU mit einem Antrag daherkommt, um IP-Adressen für die Strafverfolgung „rechtssicher“ zu speichern. Was ist, wenn einem Bürger B dann vorgeworfen wird, sich an einer Kinderpornoseite oder irgendwas mit rechten Verschwörungen „sicher“ angemeldet zu haben, über die Microsoft-basierte zentrale Authentifikation, es in Wirklichkeit aber der Geheimdienst oder doch ein Hacker war, der an die Daten kam?

Das wäre nicht abwegig. Ich habe ja gerade aufgezeigt, wie mir aus der Polizei-/Geheimdienstecke durch falsche Verdächtigung das Konto abgeschossen wurde. Die würden dann auch Anmeldungen an Kinderporno-/Rechtsradikalen-/Islamisten-/Drogen-/Waffenhandel-/Terrorwebseiten faken, um einen dann anzuklagen. Und *zack* ist man „rechtssicher“ im Gefängnis.

Außerdem übernimmt dann Microsoft, wie der Leser befürchtet, die totale Kontrolle über alle Authentifikationsvorgänge. Bisher konnte man sich für jede Webseite X ein Passwort Y ausdenken, die nichts miteinander zu tun hatten. Das heißt, dass die eine Webseite nichts davon wusste, wenn ich mich bei einer anderen anmelde. Hat Microsoft aber die Kontrolle über alles und jedes, dann wissen die alles, was man macht und welche Identitäten man da verwendet. Und könnten die Anmeldung auch fälschen.

Man sollte also das Konzept der Second-Factor-Authentication und das, was Firmen daraus machen, auseinanderhalten.

Neulich ist mir auch so etwas passiert. Ich habe ein OTP-Generator-Secret zur Erzeugung von One-Time-Passworten auf einem Android-Handy eingetragen und dann frappiert festgestellt, dass es auf meinem Tablet dann auch schon war. Es also im Hintergrund über die Cloud synchronisiert wurde. Was eigentlich überhaupt nicht, nie und niemals nicht, passieren darf, denn wenn das Ding automatisch rumfliegt, dann ist es ja kein Secret mehr. Dann kann der US-Geheimdienst sich in meinem Namen einloggen.

Insofern könnte man diese Second-Factor-Authentication auch als Schwächung ansehen, weil die USA bisher von einem Passwort, das ich nur im Kopf hatte, nichts wussten, jetzt aber automatisch Kenntnis von allen Authentifikationsschlüsseln und -vorgängen erhalten und diese auch fälschen können.

Ich persönlich finde die Yubikeys zwar teuer, aber gut, weil sie viele nützliche Funktionen haben, und man das auch alles lokal machen kann, ohne Cloud. Aber erstens ist der Umgang damit auch nicht ganz trivial, und zweitens werden sie von einem schwedisch-amerikanischen Unternehmen hergestellt. Und ich traue in Sachen Kryptographie und Abhören weder Schweden, noch Amerikanern. Ich kann mir nicht vorstellen, dass die Dinger wirklich dicht sind und keine Backdoor haben, das würden die USA nicht zulassen. Aber es ist schon mal kein schlechter Schutz gegen normale Hacker und eigene Schlamperei.

Auch bei den normalen Fido-/U2F-Tokens weiß man nicht, wie weit man denen trauen kann. Es gibt sehr bekannte und günstige Exemplare, deren Hersteller aber in Kanada sitzt. US-Vasall, Mitglied der „Five Eyes“. Auch nicht vertrauenswürdig.

Was bleibt einem also?

Ich halte es deshalb durchaus für sehr ratsam, Second-Factor-Authentication oder eine wirklich starke Authentifikation zu verwenden. Aber die Auswahl und Umsetzung sind eben schwierig, das könnte letztlich schwächer sein als nur die Passwort-Authentifikation.

Ob man sich auf dieses Microsoft-System einlässt, sollte man sich im Einzelfall schon sehr genau überlegen.

Alles nicht so einfach.