Die Zwei-Faktor-Authentifizierung (2FA) stellt die wirksamste Vorgehensweise dar, um unerlaubten Zugriff auf digitale Konten zu unterbinden. Sind Sie noch nicht überzeugt? Betrachten Sie die beeindruckenden Daten, die Microsoft präsentiert hat.
Die Fakten im Detail
Im Februar 2020 präsentierte Microsoft auf der RSA-Konferenz einen Vortrag mit dem Titel „Breaking Password Dependencies: Challenges in the Final Mile at Microsoft“. Diese Präsentation bot faszinierende Einblicke in die Methoden zur Sicherung von Benutzerkonten. Auch wenn diese Thematik komplex erscheinen mag, waren die aufgezeigten Zahlen und Statistiken äußerst bemerkenswert.
Microsoft überwacht monatlich über eine Milliarde aktive Konten, was fast einem Achtel der Weltbevölkerung entspricht. Diese Konten generieren mehr als 30 Milliarden Anmeldevorgänge pro Monat. Jede Anmeldung bei einem O365-Unternehmenskonto kann mehrere Authentifizierungen für diverse Anwendungen sowie zusätzliche Aktivitäten für andere Apps, die O365 für Single Sign-On nutzen, nach sich ziehen.
Diese hohe Zahl wird noch beeindruckender, wenn man bedenkt, dass Microsoft täglich 300 Millionen betrügerische Anmeldeversuche abwehrt. Dies sind nicht jährlich oder monatlich, sondern täglich 300 Millionen Versuche.
Im Januar 2020 wurden 480.000 Microsoft-Konten – 0,048 Prozent aller Microsoft-Konten – durch sogenannte Spraying-Attacken kompromittiert. Bei dieser Methode versucht ein Angreifer, ein gängiges Passwort (z. B. „Frühling2020!“) gegen Listen von tausenden Konten einzusetzen, in der Hoffnung, dass einige Nutzer dieses Passwort verwenden.
Spraying-Attacken sind nur eine von vielen Angriffsmethoden; zahlreiche weitere Angriffe basieren auf Credential Stuffing. Hierbei erwerben Kriminelle im Dark Web Benutzernamen und Passwörter, um diese auf anderen Plattformen auszuprobieren.
Des Weiteren gibt es Phishing, bei dem Angreifer versuchen, Nutzer auf gefälschte Webseiten zu locken, um deren Passwörter zu stehlen. Solche Methoden sind im allgemeinen Sprachgebrauch als „Hacking“ von Online-Konten bekannt.
Insgesamt wurden im Januar über 1 Million Microsoft-Konten gehackt. Dies entspricht ungefähr 32.000 kompromittierten Konten pro Tag. Diese Zahl erscheint enorm, besonders wenn man die 300 Millionen täglich vereitelten Betrugsversuche in Betracht zieht.
Die wichtigste Erkenntnis ist jedoch, dass 99,9 Prozent aller Kompromittierungen von Microsoft-Konten hätten verhindert werden können, wenn die Zwei-Faktor-Authentifizierung aktiviert gewesen wäre.
Was ist Zwei-Faktor-Authentifizierung?
Zur Erinnerung: Die Zwei-Faktor-Authentifizierung (2FA) verlangt eine zusätzliche Methode zur Authentifizierung, die über Benutzernamen und Passwort hinausgeht. Diese zusätzliche Sicherheitsmaßnahme ist häufig ein sechsstelliger Code, der per SMS an Ihr Mobiltelefon gesendet oder über eine App generiert wird. Diesen Code geben Sie dann bei der Anmeldung in Ihr Konto ein.
Die Zwei-Faktor-Authentifizierung ist eine Form der Multi-Faktor-Authentifizierung (MFA). Es gibt auch andere MFA-Methoden, wie z. B. physische USB-Token oder biometrische Scans von Fingerabdrücken oder Augen. Ein Code, der an Ihr Telefon gesendet wird, ist jedoch die gebräuchlichste Methode.
Der Begriff Multifaktor-Authentifizierung ist jedoch sehr weit gefasst – ein besonders sicheres Konto kann beispielsweise drei statt zwei Faktoren verlangen.
Hätte 2FA die Angriffe verhindert?
Bei Spraying-Attacken und Credential Stuffing haben die Angreifer bereits ein Passwort. Sie müssen nur Konten finden, die dieses Passwort nutzen. Beim Phishing haben die Angreifer sowohl Passwort als auch Kontonamen, was die Lage noch verschärft.
Wenn die im Januar betroffenen Microsoft-Konten die Multi-Faktor-Authentifizierung aktiviert gehabt hätten, wäre es nicht ausreichend gewesen, lediglich das Passwort zu besitzen. Die Hacker hätten zusätzlich Zugriff auf die Mobiltelefone der Opfer gebraucht, um den MFA-Code zu erhalten und sich in die Konten einloggen zu können. Ohne das Telefon hätten die Angreifer keinen Zugriff gehabt, und die Konten wären nicht kompromittiert worden.
Auch wenn Sie denken, dass Ihr Passwort schwer zu erraten ist und Sie niemals auf Phishing hereinfallen würden, sollten wir uns die Fakten ansehen. Laut Alex Weinart, einem leitenden Architekten bei Microsoft, ist Ihr Passwort nicht der wichtigste Faktor, wenn es um die Sicherheit Ihres Kontos geht.
Dies gilt nicht nur für Microsoft-Konten – jedes Online-Konto ist gleichermaßen gefährdet, wenn keine MFA verwendet wird. Laut Google hat MFA zu 100 Prozent Angriffe durch automatisierte Bots (wie Spraying-Attacken, Credential Stuffing und ähnliche Methoden) verhindert.
Die Google-Studie zeigt, dass die Methode „Sicherheitsschlüssel“ in der Grafik unten links 100% effektiv war, um automatisierte Bots, Phishing und gezielte Angriffe zu stoppen.
Was ist also die „Sicherheitsschlüssel“-Methode? Diese Methode nutzt eine App auf Ihrem Mobiltelefon, um einen MFA-Code zu generieren.
Während die Methode „SMS-Code“ ebenfalls sehr effektiv ist – und definitiv besser ist als gar keine MFA – ist eine App noch besser. Wir empfehlen Authy, da es kostenlos, benutzerfreundlich und leistungsstark ist.
So aktivieren Sie 2FA für alle Ihre Konten
Sie können 2FA oder eine andere Form von MFA für die meisten Online-Konten aktivieren. Die Einstellungen befinden sich an verschiedenen Stellen, üblicherweise jedoch im Menü „Konto“ oder „Sicherheit“.
Glücklicherweise gibt es Anleitungen für die Aktivierung von MFA für viele gängige Websites und Apps:
Amazon
Apple ID
Facebook
Google/Gmail
Instagram
LinkedIn
Microsoft
Nest
Nintendo
Reddit
Ring
Slack
Steam
Twitter
MFA ist die effektivste Methode, um Ihre Online-Konten zu schützen. Wenn Sie es noch nicht getan haben, sollten Sie sich die Zeit nehmen, es so bald wie möglich zu aktivieren – besonders für wichtige Konten wie E-Mail und Bankgeschäfte.