Zwei-Faktor-Authentifikationsverfahren

Transkript

1 Zwei-Faktor-Authentifikationsverfahren im Vergleich KA-IT-Si Karlsruhe, Petra Barzin, Michael Leuchtner

2 Secorvo Unabhängiges Beratungsunternehmen für IT-Sicherheit und Datenschutz (seit 1998) Über 250 Jahre Berufserfahrung Über 850 Projekte Kunden: BMW, Daimler, BASF, Heidelberger, Deutsche Bank, EZB, Finanz Informatik, Datev, EnBW, Toll Collect, Krones, KfW, Tchibo, Commerzbank, Bundesbank, BSI, Deutsche Bahn, Benteler, SEW, Linde, Liebherr, Novartis, Deutsche Post, FhG, BNetzA, DZ-Bank, VW, Pfizer, Paul Hartmann, SWR, Bosch, SAP, ZF,...

3 Nexus Internationales Unternehmen, das Sicherheitslösungen, -produkte und dienstleistungen für den physischen und digitalen Zugang (Identity and Access Management) anbietet Breit gefächerter Kundenstamm: mittelständische bis große Unternehmen, private und öffentliche Organisationen, sowie Regierungen Hauptsitz in Stockholm, Schweden 250 Angestellte, davon 102 in Deutschland, 17 Niederlassungen in 11 Ländern Kunden Nexus sichert und verwaltet über 100 Millionen Identitäten

4 Passwörter zur Authentifikation 2FA-Authentisierung mit Live Demo Markttrends und Zukunft der Authentisierungstechnologien Empfehlungen

5 Passwörter zur Authentifikation

6 Benutzername und Passwort Authentifizierung nur durch Wissen In der Praxis weit verbreitet Kostengünstig Angriffsmöglichkeiten: Password Sniffer, Keyboard logger, Brute-Force, Rainbow Tables, Dictionary Attack, Social Engineering, Phishing, Man in the Middle -Angriffe Passwort-Cracker wie Cain&Abel, PasswdFinder, Passware Kit finden ein achtstelliges Passwort aus Groß- und Kleinbuchstaben in wenigen Stunden Stammt das Passwort aus dem deutschen Sprachschatz, ist es in Sekunden geknackt Einsatz der Tools nur um eigene vergessene Passwort zu knacken, sonst strafbar (Hacker-Paragraf: 202c Strafgesetzbuch)

7

8 2FA-Authentisierung

9 Authentifizierung Je nach Anzahl der Merkmale zur Authentifizierung unterscheidet man zwischen: Ein-Faktor-Authentifizierung Zwei-Faktor-Authentifizierung Drei-Faktor-Authentifizierung Je mehr Faktoren, desto sicherer ist das Verfahren

10 Typische 2FA-Verfahren I. d. R. Authentifizierung durch Besitz und Wissen Zwei-Faktor-Authentifizierung (Hardware-Token mit PIN) Einmalpasswort (One-Time-Password, OTP) Verschiedene Formfaktoren Zertifikatsbasierte Authentifizierung Schlüssel und Zertifikat auf Smartcard oder USB-Token

11 OTP-Verfahren Passwörter sind nur für einen einzigen Vorgang gültig Authentication Token und Authentication Server berechnen die gleichen Einmalpasswörter Als Challenge zur Berechnung des Einmalpassworts wird meistens die aktuelle Uhrzeit verwendet Synchrone Uhrzeit bei Client und Server erforderlich Ca. alle 60 Sekunden wird ein neues Einmalpasswort generiert Zur Authentifikation eines Benutzers werden i. d. R. Passwort und Einmalpasswort kombiniert (Wissen und Besitz) Sicher gegen Mithören und Replay Attacken, aber Man in the Middle -Angriffe sind möglich Meist im Einsatz um Remote-Verbindungen abzusichern

12 OTP mit Authentication Token Berechnung eines Einmalpasswortes in einem dedizierten, vertrauenswürdigen Gerät

13 OTP Application auf Smartcard Berechnung eines Einmalpasswortes auf einer Smartcard

14 OTP auf dem Smartphone App zur Erzeugung von Einmalpasswörtern oder Einmalpasswörter per SMS aufs Handy (wie beim Online-Banking) Vorteil: Keine zusätzliche Hardware erforderlich OTP-SMS angreifbar über Beantragung einer zweite SIM-Karte Prominentes Beispiel: Google Authenticator auch für Windows Anmeldung über zusätzlichen Credential Provider

15 Lösungen für OTP auf dem Smartphone OTP Lösung inkl. OTP Server von renomierten Anbietern wie RSA, Vasco, Gemalto, Kobil, Open Source Alternative: FreeOTP (Client), FreeIPA (Server) Implementierung der HOTP und TOTP Standards

16 Zertifikatsbasierte Authentifizierung Kryptographie und Zertifikate statt Einmalpasswörter Kein Authentifikationsserver erforderlich zur Verifikation von Einmalpasswörtern ABER: Erfordert eine PKI im Unternehmen (inkl. Kartenleser und ggf. Smart Card Management-System) Nutzer authentisiert sich mit seinem privaten Schlüssel Verifikation anhand seines Zertifikats

17 2FA: Smartcard bzw. USB-Token Privater Authentifizierungsschlüssel ist auf einer Smartcard bzw. USB-Token als sichere Hardware gespeichert Privater Schlüssel kann nicht ausgelesen/ kopiert werden Operationen mit dem privaten Schlüssel nur in sicherer Hardware Fehlbedienungszähler, d. h. Smartcard bzw. USB-Token wird gesperrt nach maximal zulässigen Fehleingaben der PIN

18 Alternativen für sichere Hardware Virtual Smartcard Wenn das Device über ein Trusted Platform Module (TPM) verfügt, unterstützt Windows dessen Nutzung als "virtuelle Smartcard" Network Smartcard Schlüsselmaterial / Zertifikat wird auf einem gesicherten Backendsystem (Server/ HSM) gespeichert. Zugriff vom Client erfolgt über übliche Standard-Middlewareschnittstellen (CSP oder Pkcs#11) dabei wird eine gesicherte Verbindung zum Backendaufgebaut. Einsatzgebiete: Virtuelle Umgebungen wie z.b. Citrix, Thin-Clients wo lokale Verbindungen zu einer echten Smartcard schwierig bzw. unmöglich ist.

19 Sicherheitsaspekte im Vergleich Mithören Replay Attacken MITM - Angriffe Passwort im AD Passwörter!!!! Zertifikatsbasierte Authentifikation OTP- Verfahren - -! - - -!! Zertifikatsbasierte Authentifizierung: Beim Entfernen der Smartcard kann automatisch der Bildschirm gesperrt oder der Benutzer abgemeldet werden MITM = Man in the Middle

20 2FA Live Demo

21 Markttrends und Zukunft der Authentisierungstechnologien

22 Markttrends Verstärkter Einsatz von 2FA wie z. B. Smartcard oder Token, aber auch Einmalpasswörter über Smartphones (tokenlose Variante) SMS auf Smartphones sind nicht wirklich sicher Vermehrte Nutzung von mobilen Endgeräten Netbooks und Smartphones haben in der Regel keine integrierten Kartenleser

23

24 FIDO FIDO: Fast ID Online Gründung der FIDO Alliance im Jahr 2012 Wichtigste FIDO Spezifikationen der FIDO Alliance: Universal Second Factor (U2F) Protokoll Universal Authentication Framework (UAF) Protokoll U2F fordert einen 2-ten Faktor zur Authentifikation Verstärkte Sicherheit der Passwort-Authentifikation UAF nutzt Public-Key-Kryptographie zur Authentifikation Nutzer-Registrierung: Schlüsselerzeugung beim Client Öffentlicher Schlüssel wird beim Online Dienst (IDP) registriert Beim Login signiert der Nutzer eine Challenge; erfordert 1FA- Authentifikation (Passwort, PIN, Biometrie )

25 FIDO U2F devices Security-Token nach dem U2F-Standard

26 YubiKeys FIDO U2F Security Key YubiKey 4 bzw. YubiKey 4 Nano YubiKey NEO (mit zusätzlicher NFC-Unterstützung) YubiKey 4 und YubiKey NEO unterstützen mehrere Authentifizierungsprotokolle: FIDO U2F authentication Smartcard für Operationen mit privatem Schlüssel One-Time Password Bewährte Authentifikationsmechanismen in neuem Gewand

27 Blick in die Kristallkugel

28 Empfehlungen

29 Empfehlungen Passwörter bieten nur eine schwache Authentifikation Zwei-Faktor-Authentifizierung bietet starke Authentifikation Wahl des passenden Authentifikationsverfahrens ist abhängig von der individuellen, technischen Infrastruktur und den konkreten Anforderungen eines Unternehmens Biometrische Merkmale zur Authentifikation sind weniger empfehlenswert Biometrisches Merkmal kann unbemerkt gestohlen oder anhand eines Fotos rekonstruiert werden Biometrische Merkmale sind dauerhafte persönliche Merkmale und nicht änderbar wie Passwörter Unschärfe bei der Erkennung des biometrischen Merkmals kann zu False Acceptance oder False Rejection führen

30 Secorvo Security Consulting GmbH Ettlinger Straße Karlsruhe Tel Fax

31 Bildquellen Folie #10: Folie #13: behoerde-hacker-erbeuten-5-6-millionen-fingerabdruecke-a html

32 Biometrie

33 Genetische Passwörter Merkmale werden von einer Person immer mitgeführt Kann sich aber verändern durch Unfall oder Alterungsprozess Passive oder aktive biometrische Merkmale wie bspw. Fingerabdruck Gesichtserkennung Iris- oder Retinamuster Unterschriftendynamik Stimmbiometrie Anschlagdynamik auf Tastaturen Unschärfe bei der Erkennung des biometrischen Merkmals kann zu False Acceptance oder False Rejection führen Angriffsmöglichkeiten: Ein biometrisches Merkmal kann gestohlen oder anhand eines Fotos rekonstruiert werden, Man in the Middle -Angriffe

34 Donnerstag, :57 Uhr