Im Juni gelang es Hackern, in Mitarbeiterkonten der Social News-Plattform Reddit einzudringen. Die Multi-Faktor-Authentifizierung (MFA) zeigte hierbei Schwachstellen, sodass die Hacker den per SMS übermittelten Authentifizierungscode abfangen konnten. [...]
Durch den zugesandten Code bei der Multi Faktor Authentifizierung (MFA) soll sichergestellt werden, dass sich tatsächlich ebendiese Person einloggt, die dies auch vorgibt. Grundsätzlich empfiehlt TÜV AUSTRIA immer die Nutzung einer Multi Faktor Authentifizierung (MFA). Diese verhindert die Übernahme eines Accounts, durch die Kenntnis lediglich eines Faktors, wie z.B. des Passwortes.
„Dennoch zeigt dieses jüngste Beispiel (des erfolgreichen Hackerangriffs auf die Social News-Plattform Reddit, Anm.) etwaige Schwachstellen in manchen Formen der Multi-Faktor-Authentifizierung auf“, räumt TÜV-AUSTRIA-Experte Hendrik Dettmer ein.
Komplexität der Angriffe steigt deutlich
Angreifer könnten gezielt Handynummern ausfindig machen, um diese durch bestimmte Angriffsmethoden zu nutzen. „Hacker würden zum Beispiel versuchen, eine Zweit-SIM-Karte zu bestellen“, beschreibt Dettmer den theoretischen Vorgang, der jedoch deutlich die Komplexität eines Angriffs erhöhe.
„Der Fall Reddit zeigt, dass die Benutzung von mehr als einem Faktor zumindest mit größerem Aufwand für den Angreifer verbunden ist“, resümiert Hendrik Dettmer und betont, dass MFA daher für die meisten Anwendungen zu empfehlen ist. TÜV AUSTRIA rät, bei kritischen Anwendungen, jedenfalls die Absicherung der eingesetzten Faktoren mit IT Sicherheitsexperten abzuwiegen.
Be the first to comment