FIDO2 für Microsoft Online Accounts / Azure AD

vulnerability

Ein sicheres Passwort allein ist heutzutage leider keine Garantie für die Sicherheit eines Benutzer-Accounts. Nicht selten kommt es zu Identitätsdiebstahl und damit zum Diebstahl von Kundendaten. Es kann fatale Folgen haben, wenn diese (oft unsicheren) Passwörter (bzw. Hashes) an die Öffentlichkeit gelangen oder über das Darkweb verkauft werden.

Illustration aus häufig genutzten Passwörtern - SEC Consult

Wer meint, sichere Passwörter wären im Jahr 2020 schon selbstverständlich, der irrt leider und die vielen Passwort Leaks sind der beste Beweis. Bedauerlicherweise sind selbst komplexe Passwörter kaum mehr eine geeignete Lösung um die „Digitale Identität“ zu wahren. Das Konzept „Identitätsschutz durch Passwörter“ hat ein Ablaufdatum: Immer mehr Anwendungen verlangen den Benutzern das Setzen eines Passwortes ab, selbst für relativ profane Anwendungen wie Online-Zeitungen. Das führt automatisch dazu, dass Benutzer ihre Passwörter natürlich für unterschiedliche Plattformen wiederverwenden – im schlimmsten Fall also setzen Benutzer für das Online Banking dasselbe Passwort wie für das Zeitungsabo.

Um die Sicherheit der Webanwendungsauthentifizierung zu verbessern, wurde von der FIDO Alliance und dem World Wide Web Consortium (W3C) das Projekt FIDO2 ins Leben gerufen. FIDO steht hier für Fast IDentity Online und soll die Authentifizierung im Web revolutionieren.

FIDO2 adressiert das Problem und bietet:

  1. eine bequemere Lösung: ein Knopfdruck oder Fingerabdruck genügt
  2. eine sicherere Lösung: Angst vor Identitätsdiebstahl gehört der Vergangenheit an
  3. eine vertrauensvollere Lösung: es braucht keinen zentralen Identitätsanbieter (wie Google, Facebook usw.), dem man global vertrauen muss.

Besonders im Jahr 2020 wurden viele Unternehmen auf der ganzen Welt dazu gezwungen, Home-Office Lösungen zu intensivieren oder gar erstmals auf Telearbeit umzustellen, um den Fortbestand des Unternehmens zu sichern. Der Einsatz von Cloud-basierten Anwendungen, wie Google Docs oder Microsoft Office 365, erleichtern zwar die Zusammenarbeit verteilter Teams, bringt jedoch auch Gefahren mit sich.

1.1. Microsoft/Ad Account Protection

Illustration mit Zahnrädern zum Thema Sicherheit - SEC Consult

Während in einem klassischen Unternehmensnetzwerk üblicherweise auf den Schutz von Firewall oder physischen Netzwerkgrenzen gesetzt werden kann, um sich vor Datenzugriffen durch Dritte zu schützen, ist dies bei den genannten Clould Anwendungen nicht mehr der Fall. Die Integrität und Vertraulichkeit der Daten hängt nur mehr am (un)sicheren Passwort.

Der Einsatz von 2-Faktor-Authentifizierung (2FA) kann zur Sicherheit der Unternehmensdaten beitragen. Mit 2FA ist es für einen Angreifer schwieriger, Zugangsdaten zu stehlen, selbst wenn der Angreifer das Kennwort kennt. Leider sind einige 2FA-Lösungen wie z.B. mobile Authenticatior-Apps (oder Tokens), die auf TOTP setzen, nach wie vor anfällig für Phishing und somit auch keine zeitgemäße Lösung. Zudem bedürfen diese oft dem recht mühsamen Abschreiben von Zahlenkombinationen.

FIDO2 bietet Unternehmen und Benutzern eine sichere, kostengünstige und bequeme Alternative für 2FA oder sogar passwortloses Anmelden. Gegen FIDO2 gibt es nur wenige realistische Angriffsmethoden, wie der Diebstahl des FIDO2 Tokens oder die Kompromittierung des Endgeräts (daneben gibt es auch einige exotische Angriffsmöglichkeiten).

Die meisten Mobiltelefone, die unter  iOS und Android (ab Version 7) laufen, sowie alle modernen Windows-PCs (sofern TPM-fähig) oder OSX-Geräte, verfügen bereits über eine integrierte FIDO2-Funktionalität. Falls dies nicht gegeben ist, können USB-FIDO2-Schlüssel eingesetzt werden. Einige dieser USB-Schlüssel können bereits ab 10 Euro erworben werden.

Wir haben Ihnen in unserem englischen Blog eine schrittweise Anleitung zum Implementieren von FIDO2 in Micorsoft (Hybrid) Active Directory Umgebungen zusammengestellt.

Über den Autor

Andreas Kolbeck
SEC Consult Group
Associate Security Consultant

Andreas is a student majoring IT-Security and works at SEC Consult for over a year now. He is especially interested in second-factor authentication with security-tokens and actively uses them for years. As a Security Consultant, he has a lot of experience with the penetration testing of web applications and other systems. Currently, he is preparing for his OSCP.