Zwei-Faktor-Authentifizierung mit spezieller Hardware, Teil 1
Da die Zwei-Faktor-Authentifizierung mittels SMS als zweiten Faktor im Grunde als gebrochen gelten muss stellt sich die Frage nach möglichen Alternativen. Eine ist der Einsatz spezieller Hardware, auf der sich keine Schadsoftware einschleichen kann. Zum Beispiel beim Onlinebanking in Form der
ChipTAN - Die TAN kommt aus der Chipkarte
Wussten Sie, dass sie einen ausgewachsenen Kryptographie-Rechner mit sich herumschleppen? Denn das, was Sie da auf der Bank- oder Kreditkarte als goldene Anschlüsse sehen ist nicht mehr und nicht weniger als der Anschluss für den auf der Karte enthaltenen Krypto-Prozessor. Was liegt also näher, als diesen Prozessor für die Berechnung einer TAN zu verwenden? Alles was ihm fehlt ist etwas Peripherie. Für Tastatur und Bildschirm war auf der Karte leider kein Platz mehr, sonst würde sie nicht mehr in Brief- oder Geldtasche passen. Und auch die Batterie musste leider draußen bleiben, aber dafür kann der Chip über das Kontaktfeld mit Strom und Daten versorgt werden und Daten ausgeben.
Wenn man den Prozessor also mit Ein- und Ausgabegeräten und etwas Strom versorgt kann er wunderbar zum Berechnen von TANs genutzt werden. Und genau das machen die ChipTAN-"Generatoren": Sie stellen dem Prozessor eine Tastatur, ein Display und eine Stromversorgung zur Verfügung, und schon ist der Miniatur-Rechner fertig. Alles, was Sie noch tun müssen, ist den Rechner mit Daten füttern. Er braucht nur
- einen vom Bankserver erzeugten Startwert,
- den zu überweisenden Betrag und
- die Kontonummer des Empfängers
und schon kann er daraus eine speziell für diese eine Überweisung gültige TAN berechnen. Diese Daten bestehen nur aus Zahlen und können ganz einfach über die Tastatur des ChipTAN-"Generators" eingegeben werden. Zur Erhöhung des Komforts wurden die Geräte auch noch mit lichtempfindlichen Sensoren ausgestattet, über die ihnen der Server diese Daten auch per Lichtsignal quasi "morsen" kann. Dazu dient der "Flackercode" auf der Webseite der Bank, vor den Sie das Gerät im passenden Winkel halten müssen.
Unschön: Flash gefährdet das Onlinebanking
Dieser Komfort birgt aber einen großen Haken: Der Flackercode wird meist über eine Flash-Anwendung erzeugt, und der Flash Player hat Glück, dass es noch den Adobe Reader und vor allem Java gibt, sonst würde er den Spitzenplatz beim Einschleusen von Schadcode einnehmen. Schon prinzipiell sollte man auf den Flash Player wenn immer möglich verzichten. Beim Onlinebanking kommt ein weiteres Problem dazu: Dabei ist bekanntlich schon eine XSS-Schwachstelle extrem gefährlich - und auch für die ist der Flash Player immer mal wieder anfällig.
Zwei Angriffe auf die ChipTAN
Aber zurück zur ChipTAN: So lange der Benutzer die vom ChipTAN-"Generator" angezeigten Daten überprüft und die TAN nur eingibt, wenn sie mit dem beabsichtigten Werten überein stimmen, ist die ChipTAN prinzipiell sicher: Eine Manipulation der Daten durch einen Onlinebanking-Schädling fällt dem Benutzer auf, die TAN daraufhin nicht eingegeben. Trotzdem sind zwei Angriffe möglich:
Zum einen ist die ChipTAN wie eigentlich jede Zwei-Faktor-Authentifizierung für Man-in-the-Middle-Angriffe anfällig. Der Onlinebanking-Trojaner Tatanga implementiert als Man-in-the-Browser einen Social-Engineering-Angriff auf die ChipTAN. Amit Klein von Trusteer hat seine Vorgehensweise im September 2012 beschrieben (auch als deutsche Übersetzung verfügbar):
Nachdem das Opfer sich auf der Onlinebanking-Website angemeldet hat, prüft der Trojaner, wie viele Konten vorhanden sind, welche Währungen sie verwenden und welche Kontostände und Limits vorliegen. Danach wählt er das Konto, vom dem die größte Überweisung möglich ist. Dafür erstellt der Trojaner dann eine Überweisung. Um an die nötige ChipTAN zu gelangen, manipuliert Tatanga die Webseite, so dass dem Benutzer ein angeblicher ChipTAN-Test seiner Bank vorgetäuscht wird, für den er eine ChipTAN erzeugen muss. Dazu wird laut Amit Klein folgender Text verwendet:
1. Stecken Sie Ihre Chipkarte in den TAN-Generator und drücken "F".
2. Halten Sie den TAN-Generator vor die animierte Grafik. Dabei müssen die Markierungen (Dreiecke) von der Grafik mit denen auf Ihrem TAN-Generator übereinstimmen.
3. Prüfen Sie die Anzeige auf dem Leserdisplay und drücken "OK".
4. Prüfen Sie die Hinweise (Empfänger-Kontonummer (ohne führende Nullen), Bankleitzahl des Empfängers und Betrag) auf dem Leserdisplay und bestätigen diese dann jeweils mit "OK" auf Ihrem TAN-Generator.
Hinweis: Uberprufen Sie die Anzeige des TAN-Generators immer anhand der Original-Transaktions-Daten - z.B. einer Rechnung.
Die eingegebene TAN wird dann zur Autorisierung der Überweisung genutzt. Damit der Angriff nicht so schnell auffällt, werden Überweisungsverlauf und Kontostand so angepasst, als hätte es die Überweisung nicht gegeben.
Diese Angriff ist genauso natürlich auch auf die SMS-TAN anwendbar. Wenn Ihre Bank sie also zu einem Test der Chip- oder SMS-TAN auffordert: Vorsicht, das ist sehr wahrscheinlich nicht Ihre Bank, sondern ein cyberkrimineller Schädling in Ihrem Rechner. Die Angaben auf dem TAN-Generator-Display bzw. in der SMS sind echt - wenn Sie die TAN eingeben, wird der angezeigte Betrag an die angegebene Kontonummer überwiesen. Und da sie die Überweisung mit Ihrer TAN autorisiert haben, dürften Sie auf dem Schaden sitzen bleiben.
Eine weitere potentielle Gefahr sind Sammelüberweisungen: Da dabei nur die Anzahl der Überweisungen und die Summe der Beträge für die TAN-Berechnung verwendet werden, könnte ein Man-in-the-Browser einzelne oder alle Überweisungen manipulieren. Solange Anzahl und Summe unverändert bleiben, fällt die Manipulation beim Prüfen der an den Generator übertragenen Daten nicht auf. Aber dagegen kann man sich ganz einfach schützen, indem man keine Sammelüberweisungen verwendet.
Als Fazit bleibt festzustellen, dass die ChipTAN sicher ist, so lange der Benutzer nicht auf Social-Engineering-Angriffe herein fällt. Die durchaus auch von einem Man-in-the-Middle kommen können, so dass sie besonders unauffällig daher kommen - welcher normale Benutzer misstraut schon der Website seiner Bank, wenn es um das Onlinebanking auf eben dieser Website geht?
Aber wie sieht es denn nun mit anderer Hardware für die Zwei-Faktor-Authentifizierung aus, insbesondere den Token zum Erzeugen von Einmal-Passwörtern? Dieser Frage werde ich in der nächsten Folge auf den Grund gehen.
Übersicht über alle Artikel zum Thema
- Authentifizierung: Sichere Passwörter
- Authentifizierung: Passwortregeln, Teil 1
- Authentifizierung: Passwortregeln, Teil 2
- Authentifizierung: Ein Faktor reicht nicht (mehr)
- Zwei-Faktor-Authentifizierung per SMS
- Zwei-Faktor-Authentifizierung mit spezieller Hardware, Teil 1
- Zwei-Faktor-Authentifizierung mit spezieller Hardware, Teil 2
- Zwei-Faktor-Authentifizierung mit der Smartphone-App
Trackbacks