Erweitern wir heute unseren Wortschatz um den Ausdruck „MFA Fatigue“: Multi-Faktor-Authentisierungs-Müdigkeit.
⏱ Lesezeit: 3 Minuten
Was ist MFA Fatigue? Ist Push MFA eigentlich sicher?
Als wir bei intension die Zwei-Faktor-Authentisierung für alle verpflichtend eingeführt hatten, waren die ersten Reaktionen „Muss das sein?“ oder „Reicht das nicht ein mal in der Woche?“. Doch leider gibt es nicht viele Alternativen, Passwort-basierte Logins sicherer zu machen. So sind TOTP basierte Verfahren „nervig“, weil immer ein Code eingegeben werden muss. Jeden Tag. Keine Ausnahme. Aber das ist hier nicht mit MFA Fatigue gemeint.
2FA: Muss das sein?
Als bequemere und deshalb beliebtere Alternative hatte sich bei uns der Microsoft Authenticator etabliert. Statt Eingabe eines 6-stelligen Codes, der von einer TOTP App ausgelesen werden muss, wird eine Push Nachricht auf das Handy geschickt. Die Freigabe des Anmeldeversuchs erfolgt dann per PIN-Eingabe oder Prüfung eines biometrischen Merkmals. Besonders praktisch ist das bis vor kurzem noch für Besitzer einer Smart Watch gewesen, da hier die Push-Anfrage direkt per Touch auf der Uhr bestätigt werden konnte.
Wenn Push-Nachrichten auf die Nerven gehen
Es stellt sich heraus, dass Hacker hier den Faktor Mensch als Schwachstelle identifiziert haben. Kommt ein Push-basiertes Verfahren zum Einsatz, ist ein Angriffspunkt das sogenannte MFA Spamming. Dabei wird ein User dauerhaft mit Bestätigungsanforderungen überschwemmt. Die Erwartung ist, dass User irgendwann entweder unbedacht und aus Versehen, oder ermüdet von den vielen Anfragen und vielleicht in der Hoffnung, so die Spam-Welle zu beenden, eine der Anfragen bestätigt. Bingo für Hacker.
Dieser Ansatz, sich den Zugang zu einem Account zu erschleichen wird mit „MFA Fatigue“ bezeichnet. In Anspielung auf die Ermüdung durch dauerhafte Bestätigungs-Anfragen.
Wie das Risiko von MFA Spamming reduzieren?
Natürlich lässt sich dagegen etwas unternehmen. Anbieter können z.B. adaptive Authentifizierungsverfahren einsetzen, um transparent für User die eingehenden Anfragen zu prüfen. Anhand bestimmter Kriterien findet eine Bewertung statt, und nur bei vermeintlich gültigen Anfragen wird eine Authentisierung über den zweiten Faktor ausgelöst.
Einen erhöhten Schutz bieten aber auch schon Rate-Limitierungen. Dabei wird die Anzahl der möglichen Anfragen für den 2. Faktor beschränkt, oder nacheinander eingehende Anfragen mit einer zunehmenden Wartezeit belegt.
Erhöhter Schutz bei Microsoft
Microsoft hat sich übrigens dazu entschieden, den Mehrfaktor-Authentisierungs Prozess per Push so zu ändern, dass nach der Push-Anfrage in der App zusätzlich ein kurzer Zahlencode eingegeben werden muss. Dieser wird im Anmeldefenster angezeigt wird, und nur der vor dem Bildschirm sitzende „Zweite Faktor“ kann ihn auslesen und in der App eingeben.
MFA Spamming wird so nicht mehr erfolgreich sein, um einen Zugang zu erschleichen. Trotzdem müssen Anbieter dafür Sorge tragen, dass die Zwei-Faktor Mechanismen nicht ausgenutzt werden können, um Benutzer durch Spam-Anfragen zu belästigen. Verbesserungen sind also auf beiden Seiten anzustreben.
Passwortlos in die Zukunft
Wir haben unsere Posts schon öfter mit #passwortlos getagged. Denn gegenüber den App basierten MFA-Verfahren gibt es damit ein echtes Plus an Sicherheit. Ob in der Cloud mit #passkeys oder Device-basierend z.B. mit USB-Sticks sind moderne passwortlose Verfahren die Gewinner und zusammen mit Keycloak eine gute Lösung für eine sichere und gute UX bei der Anmeldung.
