Zwei-Faktor-Authentifizierung - Sicherheit
Verfasst: 20. März 2014, 11:02Bei einer aktuellen Phishing-Welle versuchen Kriminelle, an die Google-Zugangsdaten ihrer Opfer zu gelangen. Dazu versenden sie E-Mails mit einem Link zu einem angeblich wichtigen Dokument auf Google Docs. Hinter dem Link befindet sich eine gefälschte Anmeldeseite von Google – die aber täuschend echt aussieht. Das Tückische dabei: Die gefälschte Anmeldeseite liegt laut Symantec sogar auf den Servern von Google. Dazu haben die Kriminellen auf Googles Cloud-Speicherdienst Google Drive einen öffentlichen Ordner angelegt und darin die gefälschte Anmeldeseite abgelegt. Die Vorschaufunktion von Google Drive erzeugt dabei den Link zur Anmeldeseite. Da der Link eine Google-Adresse ist, wirkt er vertrauenswürdig – nicht zuletzt auch deshalb, weil der Vorschau-Link eine SSL-Verschlüsselung nutzt. Wenn man darauf hereinfällt und seine Google-Anmeldedaten eingibt, dann werden die Anmeldedaten über ein PHP-Skript an die Server der Kriminellen weitergeleitet. Damit das Opfer den Angriff nicht merkt, erscheint nach dem Anmelden tatsächlich ein Dokument auf Google Docs.
Mit den Google-Zugangsdaten können die Kriminellen einiges anstellen: So können sie damit nicht nur auf die Daten des Opfers zugreifen, sondern beispielsweise auch Einkäufe im Google Play Store tätigen. In diesem Beispiel lässt sich zwar der Diebstahl des Benutzernamens und des Passworts nur schwer vermeiden. Aber es lässt sich zumindest verhindern, dass die Kriminellen die geklauten Zugangsdaten nutzen und sich damit bei Google anmelden.
Über die sogenannte Zwei-Faktor-Authentifizierung: Das bedeutet, dass man sich bei einem Dienst mit zwei verschiedenen Identitätsnachweisen authentifiziert. Der eine Identitätsnachweis ist die klassische Kombination aus Benutzername und Passwort. Als zweiter Identitätsnachweis eignet sich zB ein Smartphone: Der Online-Dienst sendet beim Anmelden einen einmaligen Code per Kurzmitteilung, App oder Sprachanruf auf das Mobiltelefon. Man kann sich erst dann anmelden, wenn auf der Anmeldeseite zusätzlich dieser einmalige Code eingegeben wird.
Die Zwei-Faktoren-Authentifizierung bieten alle großen Dienste an: Apple, Dropbox, Google, Facebook...
Mit den Google-Zugangsdaten können die Kriminellen einiges anstellen: So können sie damit nicht nur auf die Daten des Opfers zugreifen, sondern beispielsweise auch Einkäufe im Google Play Store tätigen. In diesem Beispiel lässt sich zwar der Diebstahl des Benutzernamens und des Passworts nur schwer vermeiden. Aber es lässt sich zumindest verhindern, dass die Kriminellen die geklauten Zugangsdaten nutzen und sich damit bei Google anmelden.
Über die sogenannte Zwei-Faktor-Authentifizierung: Das bedeutet, dass man sich bei einem Dienst mit zwei verschiedenen Identitätsnachweisen authentifiziert. Der eine Identitätsnachweis ist die klassische Kombination aus Benutzername und Passwort. Als zweiter Identitätsnachweis eignet sich zB ein Smartphone: Der Online-Dienst sendet beim Anmelden einen einmaligen Code per Kurzmitteilung, App oder Sprachanruf auf das Mobiltelefon. Man kann sich erst dann anmelden, wenn auf der Anmeldeseite zusätzlich dieser einmalige Code eingegeben wird.
Die Zwei-Faktoren-Authentifizierung bieten alle großen Dienste an: Apple, Dropbox, Google, Facebook...