Eigentlich ist es tatsächlich eher ein Ding, das aus der Filmwelt kommt und daher dieses Klischee geprägt hat. Denn es gibt 2021 keinen unmittelbaren Bezug mehr zwischen Hoodies und Hackern, denn sind wir mal ehrlich das ist genauso überholt wie das Klischee, dass alle Hacker/Nerds dick, unsportlich oder introvertiert sind. Ich denke eher, dass da wirklich Hollywood & Co. noch die sind, die dieses Klischee oben halten. Ich persönlich trage zwar gerne Hoodies, aber ich glaube die würde ich auch tragen, wenn ich als Berater unterwegs wäre.

Wie alles in der IT Sicherheit, ist auch die Zwei-Faktor oder Mehrfaktor-Authentifizierung nicht 100%ig sicher, denn es gibt keine hundertprozentige Sicherheit. Aber es ist schon eine enorme Hürde für jeden Hacker und ein guter Sicherheitsstandard für jedes Unternehmen eine MFA einzuführen, weil es uns als Angreifern das Leben wesentlich schwerer macht. Mehrfaktor-Authentifizierung kann man primär nur dann umgehen, wenn man quasi das Gerät als Hacker schon ``übernommen hat`` auf welchem z.B. die smsTAN als zweiter Faktor übertragen wird. Das heißt, man ist als Hacker im Browser, bekommt per SMS den zweiten Faktor und auch dieser zweite Faktor kann mit einem ``Man-in-the-middle-Angriff`` abgegriffen werden. Dieses Szenario zeigt natürlich, dass auch eine MFA hackbar ist, aber sind wir mal ehrlich: Für den Ottonormalverbraucher und KMUs bietet die Mehrfaktor-Authentifizierung schon ein hohes Maß an Sicherheit.

Die Frage ist insofern schon wichtig, weil das Handy einer der Hauptangriffsvektoren ist, da dort die meisten Informationen zusammenlaufen. Wie bei so vielem kann ich auch nur sagen, der beste Schutz ist eine Art „digital awareness“, das heißt sich überhaupt bewusst zu machen, was benutze ich alles – ergo, wo habe ich demnach auch Schwachstellen? Hier ist es weniger allein das Ziel einen tollen Virenschutz auf dem Handy installiert zu haben, es ist vielmehr die Art wichtig, wie man das Handy absichert: also dass die Authentifizierung mit einem Code und dem Fingerabdruck passiert. Ein weiterer wichtiger Punkt ist, dass man beispielsweise seine Accounts, die auf dem Handy laufen – minimiert. Auch hier ist ein Sicherheitsmerkmal das Gebot der Datensparsamkeit, d.h. installiere möglichst wenig auf deinem Gerät und dann kann von diesem Gerät auch wenig abgegriffen werden. Auch das sogenannte Geräte-Management ist wichtig, das heißt, dass man das Handy beispielsweise so konfiguriert, dass bei Verlust die Daten auch aus der Ferne gelöscht werden können. Es gibt noch viele Punkte mehr, aber grundsätzlich sollte man sich bewusst sein, was hat man auf seinem Endgerät, also seine eigenen Angriffsvektoren kennen. Beachtet man dann auch noch das Gebot der Datensparsamkeit und hat Dinge installiert wie „Daten löschen aus der Ferne“, dann hat man schon sehr viel getan als private Person.

Grundsätzlich gilt, wenn ein sicheres Passwort erstellt wurde (siehe Link) und dieses eine Passwort für den Passwortmanager gilt, ist man auf der sicheren Seite. Es sollte eher heißen, wie viele Passwörter sollte ich haben, anstatt wie oft soll ich ein Passwort ändern. In dem Kontext Face ID z.B. als Passwort generell zu nutzen, gilt: eine Mehrfaktor Authentifizierung teilt sich bestenfalls auf in etwas was man weiß (wie ein Passwort), etwas das man besitzt (wie ein Sicherheitstoken) und etwas das man ist (also etwas von mir darstellt, so wie den Fingerabdruck- oder der Iris-Scan). Ich glaube jeder hat es vielleicht auch schon mal in einer Krimi-Serie gesehen, wo von einem Leichnam der Finger genommen und damit das Handy entsperrt wird. Es gibt auch Beispiel vom Chaos Computer Club, wo man damals einen Bundestagsabgeordneten ein Glas hingestellt hat und hat dieses dann über eine befreundete Putzfrau in die richtigen Hände gespielt und dann wurde der Fingerabdruck vom Glas mit einer Art Leim Gemisch von der Oberfläche des Glases genommen. Somit hatte man quasi einen Fingerabdruck eines Abgeordneten und konnte sich damit überall anmelden. Grundsätzlich ist also alles möglich. Ein Fingerabdruck ist zum Beispiel auch relativ leicht fälschbar mit einfachen Mitteln aus dem Baumarkt. Bei anderen Dingen wie Iris-Scanner ist es natürlich schon schwerer. Die Kunst und die Zukunft von Mehrfaktor-Authentifizierung liegt in möglichst vielen Faktoren und diese intelligent miteinander zu verknüpfen! Jedes Mobilgerät hat beispielsweise bis zu 15-20 Sensoren und wenn man daraus eine Schnittmenge zusammen mit der Stimme macht, dann ist dann fast nicht mehr fälschbar. Das wiederum bedeutet, Mehrfaktor gehört die Zukunft, aber es geht um einen sinnvollen Einsatz und eine intelligente Kombination.

Also als Beispiel als Passwort benötige ich meine Iris, meine Stimme und dem Gesamtbild meiner Sensoren z.B. im Handy, die daraus eine eineindeutige Charakteristik von mir formen. Solche Dinge werden in Zukunft immer wichtiger gegenüber dem herkömmlichen Passwort, wobei ich sagen muss, der Mensch ist ein Gewohnheitstier und es wird glaube ich noch lange dauern, bis Passwörter gänzlich verschwinden. Denn auch wenn es technologisch möglich ist, entscheidet am Ende des Tages ja immer noch der User. Ich bin also der Meinung, von „passwordless“ sind wir noch weit entfernt, deshalb ist eine MFA mit sicherem Passwort und Security Token auf jeden Fall die bessere Lösung.

Die Funktion ``Password Reset`` ermöglicht es, Passwörter nicht nur in Password Safe selbst, sondern auch in der Anwendung / an der Website selbst zu ändern. Dieser Reset kann automatisch nach vorher definierten Triggern erfolgen wie etwa dem Aufdecken eines Passworts oder dem Login im Sinne von OTPs.

Die Gefahr, dass einer unserer Clients im Zuge eines Angriffs kompromittiert wird, ist natürlich etwas, das wir immer mit betrachten – so speichern (cachen) wir niemals Secrets und empfehlen eine möglichst sichere Konfiguration, z.B. durch MFA, auch bei Password Safe. Besonders sensitive Accounts/Credentials können noch zusätzlich durch einen Workflow mit Approval geschützt werden oder via Sichtschutz nur für die automatische Eintragung freigegeben werden.