LONDON (IT BOLTWISE) – In der Welt der Cybersicherheit gibt es immer wieder Berichte über neue Bedrohungen und Angriffe, die bestehende Sicherheitsmaßnahmen umgehen sollen. Ein aktueller Bericht von Sicherheitsexperten hat jedoch klargestellt, dass Phishing-Angriffe die FIDO-basierte Multi-Faktor-Authentifizierung (MFA) nicht direkt umgehen, sondern sie lediglich auf eine schwächere Form herabstufen.
Die FIDO-Allianz hat sich zum Ziel gesetzt, die Sicherheit von Online-Authentifizierungen zu revolutionieren, indem sie eine robuste Multi-Faktor-Authentifizierung bietet, die gegen Phishing-Angriffe immun ist. Doch kürzlich aufgetauchte Berichte über Phishing-Angriffe, die angeblich FIDO-MFA umgehen, haben für Aufsehen gesorgt. Bei genauerer Betrachtung handelt es sich jedoch nicht um ein echtes Umgehen der FIDO-Sicherheitsmaßnahmen, sondern um eine Herabstufung auf ein weniger sicheres Verfahren.
Der Angriff, der von der Sicherheitsfirma Expel beschrieben wurde, nutzt eine Schwachstelle im Prozess der geräteübergreifenden Anmeldung aus. Dabei wird ein gefälschtes Login-Portal verwendet, um Benutzer dazu zu bringen, ihre Anmeldedaten preiszugeben. Diese Daten werden dann in Echtzeit von den Angreifern verwendet, um sich auf der echten Plattform anzumelden. Der entscheidende Punkt ist, dass die FIDO-Spezifikationen solche Angriffe durch zusätzliche Sicherheitsmaßnahmen wie die Nähe der Geräte und die Bindung der Authentifizierungsanfrage an die korrekte Domain verhindern.
Die FIDO-Spezifikationen verlangen, dass das Gerät, das die Authentifizierung durchführt, sich in unmittelbarer Nähe des Geräts befinden muss, das die Anmeldung initiiert. Dies wird durch die Nutzung von Bluetooth-Verbindungen sichergestellt. Zudem muss die Authentifizierungsanfrage an die korrekte Domain gebunden sein, was bedeutet, dass ein Angriff über eine gefälschte Domain scheitern würde.
Was Expel tatsächlich beobachtet hat, ist ein Angriff, der die FIDO-MFA auf eine schwächere Form herabstuft, die nicht die gleichen Sicherheitsvorkehrungen bietet. Dies könnte mit den Authentifizierungsmethoden verglichen werden, die bei der Anmeldung auf Plattformen wie Netflix oder YouTube über ein anderes Gerät verwendet werden. Solche Methoden sind zwar bequem, bieten jedoch nicht die gleiche Sicherheit wie FIDO.
Um solche Angriffe zu vermeiden, sollten Administratoren sorgfältig abwägen, ob sie eine Herabstufung der FIDO-geschützten Authentifizierung auf schwächere Methoden zulassen. Die ausschließliche Nutzung von FIDO kann zwar Herausforderungen bei der Verwaltung und dem Export von Passkeys mit sich bringen, bietet jedoch einen höheren Schutz vor Phishing-Angriffen.
In der Zwischenzeit sollten Endnutzer darauf achten, nur FIDO-konforme Authentifizierungsmethoden zu verwenden, auch wenn die Unterscheidung zwischen den verschiedenen Methoden nicht immer einfach ist. Die Sicherheitsgemeinschaft arbeitet kontinuierlich daran, die FIDO-Spezifikationen weiter zu verbessern und die Verwaltung von Passkeys zu erleichtern.
Unseren KI-Morning-Newsletter «Der KI
News Espresso» mit den besten KI-News des letzten Tages gratis per eMail – ohne Werbung:
Hier kostenlos eintragen!
Phishing-Angriffe umgehen FIDO-MFA nicht, sondern schwächen sie (Foto: DALL-E, IT BOLTWISE)
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Da wir bei KI-erzeugten News und Inhalten selten auftretende KI-Halluzinationen nicht ausschließen können, bitten wir Sie bei Falschangaben und Fehlinformationen uns via eMail zu kontaktieren und zu informieren. Bitte vergessen Sie nicht in der eMail die Artikel-Headline zu nennen: „Phishing-Angriffe umgehen FIDO-MFA nicht, sondern schwächen sie“.