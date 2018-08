Der Social-News-Aggregator Reddit setzt für seine Mitarbeiter-Accounts auf Zwei-Faktor-Authentifizierung. Das soll verhindern, dass sich Unberechtigte über unsichere Passwörter oder andere Lücken Zugriff verschaffen. Die als sicher geltende Anmelde-Technologie wurde nun von Hackern doch geknackt. Gelungen ist ihnen das, in dem sie den per SMS ermittelten Authentifizierungscode abgefangen haben. Die Hacker gelangten dadurch in den Besitz von Mail-Adressen von Nutzern und einem Backup aus dem Jahr 2007, welches mitunter verschleierte Passwörter umfasste.

Die Zwei-Faktor-Authentifzierung oder auch Multifaktor-Authentifizierung genannt, soll ein mehrstufiges Sicherheitsprotokoll sicherstellen, dass sich keine unberechtigte Person bei einem Portal anmeldet, oder gar eine Transaktion online durchführt. So wird durch den zugesandten Code sichergestellt werden, dass sich tatsächlich ebendiese Person einloggt, die dies auch vorgibt. TÜV Austria empfiehlt prinzipiell immer die Nutzung einer Multi Faktor Authentifizierung (MFA). Diese verhindert die Übernahme eines Accounts, durch die Kenntnis lediglich eines Faktors wie z.B. des Passwortes. "Dennoch zeigt dieses jüngste Beispiel etwaige Schwachstellen in manchen Formen der Multi Faktor Authentifizierung auf.", räumt der TÜV-Experte Hendrik Dettmer ein.

Angreifer könnten gezielt Handynummern ausfindig machen

Angreifer könnten gezielt Handynummern ausfindig machen, um diese durch bestimmte Angriffsmethoden zu nutzen. "Hacker würden zum Beispiel versuchen, eine Zweit-SIM-Karte zu bestellen", beschreibt Dettmer den theoretischen Vorgang, der jedoch deutlich die Komplexität eines Angriffs erhöhe. "Der Fall Reddit zeigt, dass die Benutzung von mehr als einem Faktor zumindest mit größerem Aufwand für den Angreifer verbunden ist", resümiert Hendrik Dettmer und betont, dass MFA daher für die meisten Anwendungen zu empfehlen ist. TÜV Austria rät, bei kritischen Anwendungen, jedenfalls die Absicherung der eingesetzten Faktoren mit IT Sicherheitsexperten abzuwiegen.

Der Social-News-Aggregator Reddit zählt mit mehr als 330 Millionen Besuchern im Monat laut CNBC zu den fünf weltweit beliebtesten Webseiten im Internet.

(bagre)