Skip to content

Zwei-Faktor-Authentifizierung mit der Smartphone-App

Nach der Zwei-Faktor-Authentifizierung per SMS, mittels ChipTAN-Generator und spezieller Token geht es nun um die

Einmalpasswörter aus der Smartphone-App

Einmalpasswörter lassen sich auch von einer Smartphone-App erzeugen, wie es zum Beispiel Google mit dem Google Authenticator für Android, iOS und Blackberry zeigt. Verwenden die Apps den Internet-Standard RFC 6238 (Time-Based One-Time Password Algorithm), wie es zum Beispiel der Google Authenticator macht, lassen sie sich sogar Website-übergreifend einsetzen. Die Apps erzeugen in regelmäßigen Abständen neue Einmalpasswörter, genau wie die in der vorigen Folge vorgestellten speziellen Token.

Licht und Schatten gibt es immer nur gemeinsam

Der Vorteil der App gegenüber einem speziellen Token oder allgemein spezieller Hardware: Während die Hardware ein zusätzliches Gerät ist, das man immer dabei haben muss, wenn man evtl. mal unterwegs die darüber geschützte Anwendung nutzen will, hat man das Smartphone im Allgemeinen sowieso immer dabei.

Ein Nachteil der App gegenüber dem Token: Smartphones gehen öfter mal verloren oder werden gestohlen. Ist das Gerät dann nicht ausreichend geschützt, hat der Finder oder Dieb Zugriff auf die App. Wird das Smartphone auch zum Surfen genutzt, sind Benutzername und Passwort der Webanwendungen womöglich in einem Passwortmanager gespeichert, und Finder oder Dieb haben sofort Zugriff auf die Webanwendungen. Und mal abgesehen von gezielten Angriffen, bei denen bei Bedarf sicher auch Security-Token gezielt gestohlen werden, haben normale (Taschen-)diebe es meist eher auf das mehr oder weniger wertvolle Smartphone und nicht auf die für sie absolut wertlose Security-Hardware abgesehen.

Wenn Sie denken, so oft wird ein Smartphone schon nicht gestohlen oder verloren, haben Sie recht: In Allgemeinen wird es immer nur einmal gestohlen, und wenn es verloren geht, muss es erst mal wiedergefunden werden, bevor es erneut verloren werden kann. Aber beides passiert ziemlich vielen Menschen. Zum Beispiel wurden in den USA allein im Jahr 2012 1,6 Millionen Smartphones gestohlen. Für Deutschland habe ich leider nur eine Presseinformationen der BITKOM aus dem Jahr 2010 gefunden. Laut einer Forsa-Umfrage im Auftrag der BITKOM hatten damals rund 7 Millionen Menschen ihr Handy schon einmal verloren (12 Prozent aller Handy-Besitzer), und 4 Millionen wurde es schon einmal gestohlen (7 Prozent). Rund 1,2 Millionen Besitzern ist sogar beides passiert (vermutlich in der Reihenfolge verloren, wiedergefunden, gestohlen). Leider fehlt die Angabe über den Zeitraum der abgefragt wurde.

Smartphone, 2. Faktor - da gab es doch schon einen Haken?

Das nächste Problem des Smartphones: Auf dem läuft nicht nur die App zum Erzeugen der Einmalpasswörter, sondern oft auch Schadsoftware. Möchte irgend jemand wetten, wie lange es dauert, bis die Cyberkriminellen einen Schädling verbreiten, der die Einmalpasswörter der Apps ausspäht? Falls ja: Ich nicht. Ich wette prinzipiell nicht, aber selbst wenn ich wetten würde - diese Wette wäre mir viel zu unsicher. Es gibt Spyware für alle möglichen und unmöglichen Zwecke für Desktop-Rechner, es gibt bereits allgemeine Spyware für Smartphones, und es gibt die speziellen Smartphone-Versionen der Onlinebanking-Trojaner zum Abfangen bzw. Ausspähen von SMS-TAN. Warum sollten die Cyberkriminellen also keine spezielle Spyware zum Ausspähen von Einmalpasswörtern entwickeln, wenn es sich für sie lohnt?

Vertrauensfragen

Bei der Smartphone-App müssen sie ebenso wie bei der speziellen Hardware darauf vertrauen, dass Entwickler und Anbieter keine Fehler machen, keine Hintertür einbauen und sensitive Daten wie den Startwert der App, die sie nichts angehen, auch nicht speichern (um sie sich dann "stehlen" zu lassen).

Aber das Problem gilt ja grundsätzlich genauso für die Hersteller Ihrer Hardware und sonstigen Software. Angesichts der aktuellen Schnüffelprogramme der Geheimdienste in den USA, Großbritannien und mit Sicherheit auch in anderen Ländern, die bisher nur nicht ertappt oder enthüllt wurden, mag man da schon ins Grübeln kommen. Aber das ist erstens ein Thema für einen "Standpunkt" und gehört hier nicht her, zweitens lohnt es sich nicht, darüber gross zu grübeln - DARAN können wir zumindest bei der Hardware wenig ändern. Bei der Software kann man auf Open Source setzen und hoffen, dass zumindest schlecht versteckte Hintertüren auffallen. Womit wir wieder zum eigentlichen Thema kommen: Wenn es schon eine App sein soll, wäre eine Open-Source-Lösung sicher die beste Wahl. Nicht nur, weil dabei der Quelltext offen liegt, sondern auch, weil das benötigte Geheimnis, meist ein zufällig erzeugter Startwert, selbst gewählt werden kann.

Ein Vorteil der App

Die App hat auch einen Vorteil, den ich natürlich auch nicht verschweigen möchte: Sie läuft zwar auf dem Smartphone, ist aber unabhängig von einer irgendwie gearteten Netzanbindung. Ein per SMS zugesandter Verifizierungscode würde mir hier im Büro gar nichts nutzen, da ich ihn mangels Empfang gar nicht erhalten würde. Eine App funktioniert aber auch dann, und ich könnte mich trotz fehlenden Handyempfangs authentifizieren. Diesen Vorteil hat aber auch ein spezielles Token, er ist also kein wirkliches Argument für die App.

App oder nicht App?

Erst mal ist eigentlich jeder 2. Faktor besser als gar kein 2. Faktor. Die App muss sich mit den speziellen Token messen, und ob man nun dem App-Entwickler und dem Smartphone-Entwickler (und dem des Smartphone-OS usw. usf.) vertraut oder dem Hersteller des Tokens (der die Hardware wahrscheinlich auch nur zugekauft hat), dürfte egal sein. Damit bleiben zwei Punkte, die gegen die App auf dem Smartphone sprechen: Die Gefahr einer Infektion des Smartphones mit Schadsoftware (gegen die die Token kontruktionsbedingt immun sind, außerdem sind die Token im Allgemeinen mit keinem Netzwerk verbunden) und die Gefahr, dass das Smartphone wegen seiner Eigenschaft als Smartphone gestohlen wird (während normale Diebe am für sie wertlosen Token kein Interesse haben dürften).

Solange es keine spezielle Schadsoftware zum Ausspähen der Einmalpasswörter gibt können Sie die App verwenden. Sie müssen dann natürlich für einen ausreichenden Schutz des Smartphones sorgen (Ja, die PIN-Eingabe ist lästig - aber auch der einzige Schutz vor einem Missbrauch durch einen Dieb) und ebenso darauf achten, dass sie auch ohne das Smartphone noch Zugriff auf die damit als 2. Faktor geschützten Webanwendungen etc. erhalten können. Denn sonst heißt es schnell "Smartphone weg, aus digitaler Identität ausgesperrt".

Sollten irgendwann spezielle Schädlinge auftauchen, würde ich persönlich keine App mehr als 2. Faktor verwenden. Eine Infektion lässt sich nie ausschließen, und dann ist der 2. Faktor de facto wertlos.

In der nächsten Folge gibt es zum Abschluss einige Bemerkungen zu allgemeinen Anforderungen an eine Zwei-Faktor-Authentifizierung, vor allem auch auf der Server-Seite.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Authentifizierung: Sichere Passwörter
Authentifizierung: Passwortregeln, Teil 1
Authentifizierung: Passwortregeln, Teil 2
Authentifizierung: Ein Faktor reicht nicht (mehr)
Zwei-Faktor-Authentifizierung per SMS
Zwei-Faktor-Authentifizierung mit spezieller Hardware, Teil 1
Zwei-Faktor-Authentifizierung mit spezieller Hardware, Teil 2
Zwei-Faktor-Authentifizierung mit der Smartphone-App

Trackbacks

Keine Trackbacks