LONDON (IT BOLTWISE) – In der Welt der Cybersicherheit gibt es immer wieder Berichte über neue Bedrohungen und Angriffe, die bestehende Sicherheitsmaßnahmen umgehen sollen. Ein aktueller Bericht von Sicherheitsexperten hat jedoch klargestellt, dass Phishing-Angriffe die FIDO-basierte Multi-Faktor-Authentifizierung (MFA) nicht direkt umgehen, sondern sie lediglich auf eine schwächere Form herabstufen.
Die FIDO-Allianz hat sich zum Ziel gesetzt, die Sicherheit von Online-Authentifizierungen zu revolutionieren, indem sie eine robuste Multi-Faktor-Authentifizierung bietet, die gegen Phishing-Angriffe immun ist. Doch kürzlich aufgetauchte Berichte über Phishing-Angriffe, die angeblich FIDO-MFA umgehen, haben für Aufsehen gesorgt. Bei genauerer Betrachtung handelt es sich jedoch nicht um ein echtes Umgehen der FIDO-Sicherheitsmaßnahmen, sondern um eine Herabstufung auf ein weniger sicheres Verfahren.
Der Angriff, der von der Sicherheitsfirma Expel beschrieben wurde, nutzt eine Schwachstelle im Prozess der geräteübergreifenden Anmeldung aus. Dabei wird ein gefälschtes Login-Portal verwendet, um Benutzer dazu zu bringen, ihre Anmeldedaten preiszugeben. Diese Daten werden dann in Echtzeit von den Angreifern verwendet, um sich auf der echten Plattform anzumelden. Der entscheidende Punkt ist, dass die FIDO-Spezifikationen solche Angriffe durch zusätzliche Sicherheitsmaßnahmen wie die Nähe der Geräte und die Bindung der Authentifizierungsanfrage an die korrekte Domain verhindern.
Die FIDO-Spezifikationen verlangen, dass das Gerät, das die Authentifizierung durchführt, sich in unmittelbarer Nähe des Geräts befinden muss, das die Anmeldung initiiert. Dies wird durch die Nutzung von Bluetooth-Verbindungen sichergestellt. Zudem muss die Authentifizierungsanfrage an die korrekte Domain gebunden sein, was bedeutet, dass ein Angriff über eine gefälschte Domain scheitern würde.
Was Expel tatsächlich beobachtet hat, ist ein Angriff, der die FIDO-MFA auf eine schwächere Form herabstuft, die nicht die gleichen Sicherheitsvorkehrungen bietet. Dies könnte mit den Authentifizierungsmethoden verglichen werden, die bei der Anmeldung auf Plattformen wie Netflix oder YouTube über ein anderes Gerät verwendet werden. Solche Methoden sind zwar bequem, bieten jedoch nicht die gleiche Sicherheit wie FIDO.
Um solche Angriffe zu vermeiden, sollten Administratoren sorgfältig abwägen, ob sie eine Herabstufung der FIDO-geschützten Authentifizierung auf schwächere Methoden zulassen. Die ausschließliche Nutzung von FIDO kann zwar Herausforderungen bei der Verwaltung und dem Export von Passkeys mit sich bringen, bietet jedoch einen höheren Schutz vor Phishing-Angriffen.
In der Zwischenzeit sollten Endnutzer darauf achten, nur FIDO-konforme Authentifizierungsmethoden zu verwenden, auch wenn die Unterscheidung zwischen den verschiedenen Methoden nicht immer einfach ist. Die Sicherheitsgemeinschaft arbeitet kontinuierlich daran, die FIDO-Spezifikationen weiter zu verbessern und die Verwaltung von Passkeys zu erleichtern.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Werkstudent (d/w/m) Banking- und IT-Solutions (Schwerpunkt Künstliche Intelligenz)
Werkstudent*in KI und CAE
AI Engineer Sonar Systems (M/W/D)
Fachinformatiker (m/w/d) für KI Deployment und Anwendung
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Phishing-Angriffe umgehen FIDO-MFA nicht, sondern schwächen sie" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Phishing-Angriffe umgehen FIDO-MFA nicht, sondern schwächen sie" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Phishing-Angriffe umgehen FIDO-MFA nicht, sondern schwächen sie« bei Google Deutschland suchen, bei Bing oder Google News!