Skip to content

2. MF Authentication

Schwachstellen bei Multi-Faktor-Authentifizierung (MFA)¶

Viele Websites nutzen noch reine Single-Factor Authentifizierung (Passwort). Immer häufiger wird aber Zwei-Faktor-Authentifizierung (2FA) eingesetzt, bei der Nutzer etwas wissen (Passwort) und etwas besitzen (z. B. Code vom Gerät).

Vorteile von 2FA¶

  • Angreifer können evtl. ein Passwort stehlen.
  • Gleichzeitig an den zweiten Faktor zu kommen, ist deutlich schwerer.
  • Darum ist 2FA grundsätzlich sicherer als reines Passwort-Login.

Probleme & Schwachstellen¶

  1. Schlechte Implementierung

    • 2FA ist nur so sicher wie die Umsetzung.
    • Fehler können dazu fĂĽhren, dass man 2FA umgehen oder ganz ĂĽberspringen kann.

  2. Gleicher Faktor doppelt geprĂĽft

    • E-Mail-basierte 2FA gilt nicht als echte Zwei-Faktor-Authentifizierung.
    • Der Nutzer gibt Passwort ein und erhält Code per Mail → beide hängen vom Wissen des E-Mail-Passworts ab.
    • Ergebnis: Es wird nicht wirklich ein zweiter Faktor geprĂĽft.

  3. Token-Methoden

    • Sicherer: Dedizierte Geräte (RSA-Token, Keypads) oder Apps wie Google Authenticator → Code wird lokal auf dem Gerät generiert.
    • Unsicherer: SMS-Codes → können abgefangen werden (z. B. durch Angriffe auf das Mobilfunknetz).
      • Risiko: SIM-Swapping → Angreifer ĂĽbernimmt Rufnummer, erhält alle SMS inklusive 2FA-Codes.

  4. Bypass-Szenarien

    • Manche Websites setzen 2FA technisch falsch um:
      • Zuerst Passwort-Eingabe, danach Code-Eingabe auf separater Seite.
      • Nach Passwort-Eingabe gilt der Nutzer bereits als „eingeloggt“.
      • Angreifer kann direkt auf geschĂĽtzte Seiten zugreifen, ohne jemals den Code einzugeben.

Lab: 2FA simple bypass¶

Oft wird eine 2FA abgefragt, aber letztlich gar nicht gegengecheckt. D. h wenn man sich einloggt mit dem Passwort kann es sein, dass ein einfaches droppen vom 2. Login den Zugang ermöglicht. So wie in der Lab Aufgabe

Lab: 2FA broken logic¶

Nachträglicher Bericht.

Man muss aufpassen, dass man nicht den 2FA brute-forcen kann. -> User ausloggen bei zu vielen fehlschlägen mit 2FA -> in der praxis aber oft sinnlos weil ein advancter Hacker auch diesen Prozess automatisieren kann mit Burp Makros