Background with hexagons
Background with hexagons

Bleibe sicher mit SwissBorgs 2FA

Bleibe sicher mit SwissBorgs 2FA
Sébastien Hauri

Sébastien Hauri

Sicherheitsingenieur

Viele unserer Nutzer haben uns gebeten, eine Zwei-Faktor-Authentifizierung (2FA) einzuführen. Der Authentifizierungsprozess von SwissBorg ist jedoch von Anfang an mit 2FA geschützt und du weißt es vielleicht nicht einmal! Dieser Artikel beschreibt den Login-Prozess in der SwissBorg-App und erklärt, wie er bereits mit 2FA gesichert ist.

SwissBorg Shield

Was ist 2FA?

Bei der Zwei-Faktor-Authentifizierung (2FA) müssen beim Zugriff auf eine geschützte Ressource (z. B. ein Online-Konto oder eine Anwendung) zwei verschiedene Arten der Identifizierung vorgelegt werden. Indem man sich nicht nur auf einen Benutzernamen und ein Passwort zur Authentifizierung verlässt, können Angriffsvektoren wie Phishing-Versuche leicht entschärft werden. 2FA überprüft deine Identität erneut und wenn beide Prüfungen erfolgreich sind, kannst du auf den geschützten Dienst zugreifen.

Die Nutzung von 2FA hat in den letzten Jahren stark zugenommen. Warum ist das so? Lange Zeit verließen sich Online-Dienste ausschließlich auf Passwörter, um Benutzerkonten zu sichern. Mit der wachsenden Zahl von Websites und Anwendungen müssen sich die Menschen immer mehr Passwörter merken, was dazu führt, dass sie entweder dasselbe Passwort für verschiedene Logins verwenden oder einfachere Passwörter wählen, um sich diese leichter merken zu können. Und selbst wenn du sichere und eindeutige Passwörter für jeden Dienst verwendest, können diese im Falle einer Datenschutzverletzung aufgedeckt oder weitergegeben werden. Nicht zuletzt hat die Zahl der Phishing-Versuche, vor allem im Kryptobereich, dramatisch zugenommen, und auch die Komplexität dieser Versuche hat zugenommen.


Authentifizierungsfaktoren

Wir haben gesehen, dass die Verwendung von 2FA sehr wichtig ist und in unserer weit vernetzten Welt stark gefördert wird, aber was können wir verwenden, um einem Online-Dienst zwei Formen der Identifizierung zu bieten? Wir nennen sie Authentifizierungsfaktoren und für Online-Dienste und -Anwendungen fallen sie normalerweise in eine der folgenden Kategorien:

  • Etwas, das du kennst: Dies kann ein Passwort, eine PIN oder auch die Antwort auf eine bestimmte Frage sein.
  • Etwas, das du besitzt: Eine Smartcard, dein Mobiltelefon zum Generieren von Einmalpasswörtern oder ein physischer Sicherheitsschlüssel.
  • Etwas, das du bist: Das sind alle biometrischen Daten, die dir zugeordnet werden können, wie dein Fingerabdruck, deine Netzhaut, dein Gesicht, deine Fingeradern usw.

Da du beim Einloggen in ein Online-Konto zwei Faktoren aus unterschiedlichen Kategorien angeben musst, kann sich ein Angreifer nicht als dich ausgeben, selbst wenn er sich unrechtmäßig Zugang zu einem der beiden Faktoren verschafft. Und das ist noch nicht alles. Bei sehr kritischen Diensten kann es sein, dass mehr als zwei Faktoren abgefragt werden. Das nennt man Multi-Faktor-Authentifizierung (MFA).


MFA

Wie funktioniert die 2FA in der Praxis?

Nachdem wir gesehen haben, wie 2FA funktioniert, um uns zu schützen, und welche Faktoren eine Person identifizieren können, wollen wir nun sehen, wie 2FA in der Praxis eingesetzt wird. Ein typischer Prozess sieht folgendermaßen aus:

  1. Du rufst die Anmeldeseite des Internetdienstes auf. Du wirst aufgefordert, deinen Benutzernamen und dein Passwort in die entsprechenden Felder einzugeben.
  2. Der Server überprüft diese Angaben und antwortet entsprechend.
  3. Anschließend wirst du nach einem zweiten Authentifizierungsfaktor gefragt. Dies ist in der Regel ein Einmalpasswort, kann aber auch einer der oben genannten Faktoren sein.
  4. Der Server verifiziert diesen zweiten Authentifizierungsfaktor und gewährt den Zugang zum Dienst.

Dieses Verfahren ist zwar sicher, eignet sich aber eher für Webanwendungen, bei denen du dich direkt über deinen Browser anmeldest, als für mobile Anwendungen wie unsere SwissBorg-App. Es gibt effizientere Möglichkeiten, die 2FA für unsere Benutzer zu nutzen, und wir werden diese im nächsten Teil dieses Beitrags erläutern.

2FA innerhalb der SwissBorg-App

SwissBorg verwendet verschiedene Arten von Berechtigungsnachweisen und Informationen, um Nutzer zu verschiedenen Zeitpunkten im Lebenszyklus ihres Kontos zu verifizieren. Lass uns zunächst einen Blick auf die verschiedenen Authentifizierungsfaktoren werfen, die wir verwenden, und dann sehen, wie sie zusammenwirken, um eine starke und sichere 2FA-Anmeldemethode zu bilden.


Der Geräteschlüssel

Der Geräteschlüssel ist der wichtigste Authentifizierungsmechanismus für unsere Nutzer und war von Anfang an vorhanden. Wenn ein Nutzer die SwissBorg-App zum ersten Mal installiert und sich registriert, wird ein kryptographischer Schlüssel innerhalb des vertrauenswürdigen Plattformmoduls (Trusted Platform Module) des mobilen Geräts generiert. Dadurch kann die Anwendung die inhärenten Eigenschaften von vertrauenswürdigen Plattformmodulen nutzen, die sicherstellen, dass das Schlüsselpaar auf sichere Weise generiert wird, dass der private Schlüssel sicher gespeichert wird und dass er niemals das Gerät verlässt.

Wenn du dich in der App anmeldest oder wichtige Vorgänge durchführst, wie z. B. eine Überweisung oder einen Umtausch, wird dieser Schlüssel verwendet, um die Anfrage zu signieren und zu beweisen, dass sie von dem mobilen Gerät stammt, das du besitzt. Diese Signatur wird dann vom SwissBorg-System überprüft, um sicherzustellen, dass es keine betrügerische Anfrage erhalten hat. Der Geräteschlüssel ist dein "etwas, das du besitzt" Faktor.


Die PIN

Die in der SwissBorg-App verwendete PIN oder Passphrase ist entweder ein vier- bis sechsstelliger Code oder eine Passphrase, die beliebige Zeichen enthalten kann. Unter der Haube wird dieser Code sofort in einen kryptographischen Schlüssel umgewandelt. Dieser wird dann zusammen mit dem Geräteschlüssel verwendet, um eine zweite Signatur zu einigen Anfragen hinzuzufügen, wie z. B. Anmeldungen und Abhebungen, was eine weitere Sicherheitsebene für diese Anfragen darstellt. Genau wie der Geräteschlüssel verlässt auch die PIN niemals dein Gerät.

Wenn der Code falsch ist, lehnt das SwissBorg-System den Antrag ab, da der aus dem falschen Code abgeleitete Schlüssel nicht mit dem gespeicherten Schlüssel übereinstimmt und somit eine falsche Signatur erzeugt. Diese Überprüfung wird mit einer Begrenzung der Anzahl falscher Versuche und einer Verzögerung zwischen diesen Versuchen kombiniert, um Brute-Force-Angriffe zu verhindern. Sobald das Limit erreicht ist, wird das Konto gesperrt und erfordert weitere Verifizierungen.

Der Einfachheit halber kann die biometrische Verifizierung anstelle des Codes verwendet werden. Hinter den Kulissen wird der aus dem Code abgeleitete kryptographische Schlüssel im Schlüsselbund deines Geräts gespeichert und vom Betriebssystem mithilfe der biometrischen Daten verschlüsselt. Der Geräteschlüssel dient entweder als "etwas, das du weisst" oder als "etwas, das du bist"-Faktor.

Würde das Hinzufügen von Einmalpasswörtern die Sicherheit erhöhen?

Wie wir in den vorangegangenen Abschnitten gesehen haben, ist die SwissBorg-App tatsächlich durch eine Zwei-Faktor-Authentifizierung gesichert, wobei die Faktoren der Geräteschlüssel und die PIN/Passphrase sind. Das Hinzufügen eines weiteren Authentifizierungsfaktors wird immer mindestens das gleiche Maß an Sicherheit gewährleisten. Aber würde es die Sicherheit erhöhen? Lass uns einige Szenarien näher betrachten.


  • Angenommen, ein Angreifer hat keinen Zugang zu deinem Gerät, auf dem die SwissBorg-App installiert ist. In diesem Szenario kann er sich nicht als du ausgeben. Denk daran, dass der Geräteschlüssel in der sicheren Enklave deines Geräts gespeichert ist und diese nie verlässt. Ohne dein Mobilgerät, auf dem du die SwissBorg-App installiert hast, kann niemand auf dein Konto zugreifen.
  • Nehmen wir nun an, dass der Angreifer Zugriff auf dein Gerät hat. Es gibt zwei Varianten dieses Szenarios:

1. Der Angreifer kann dein Gerät nicht entsperren. Dein SwissBorg-Konto bleibt sicher, da er die Anwendung nicht erreichen kann.

  1. Der Angreifer kann dein Gerät entsperren. Dann kann er die SwissBorg-App öffnen. Um auf dein Konto zugreifen zu können, muss er nun die richtige PIN/Passphrase eingeben.

Du verwendest eine starke PIN (nicht dein Geburtstag oder den deines Partners/deiner Kinder/Eltern). Dann hat der Angreifer eine Chance von 1 zu 1'000'000, dein SwissBorg-Konto zu entsperren, bei 9 Versuchen.

Du verwendest eine starke Passphrase (eine zufällige Zeichenfolge von mindestens 16 Zeichen mit einer Mischung aus Buchstaben, Zahlen und Sonderzeichen). Dann würde es Jahrhunderte dauern, bis der Angreifer deine Passphrase knacken kann.

Der Angreifer kann deine PIN/Passphrase mit hoher Wahrscheinlichkeit erraten. Das Hinzufügen eines Einmalpassworts für den Zugriff auf dein Konto würde die Sicherheit nicht erhöhen, da der Angreifer Zugriff darauf hat, wenn er dein entsperrtes Mobilgerät hat, auf dem deine Authenticator-App installiert ist oder auf dem du SMS und E-Mails empfangen kannst.

Aus dem obigen Szenario ist leicht ersichtlich, warum das Hinzufügen eines Rolling-Code-Faktors die Sicherheit der SwissBorg-App nicht erhöhen würde.


Wie Nutzer ihre Sicherheit verbessern können

Es gibt eine Reihe von Maßnahmen, die Nutzer ergreifen können, um die Sicherheit ihres Vermögens und ihrer Daten zu erhöhen. Dazu gehören:


  1. Sichere deine App mit einer starken und einzigartigen Passphrase. Wir empfehlen die Verwendung eines Passwortmanagers, wie Proton Pass oder Bitwarden.
  2. Registriere einen Passkey für den Fall, dass du dein SwissBorg-Konto wiederherstellen musst. Wir ermutigen Nutzer, Passkeys dem traditionellen Wiederherstellungsmethoden wie einer Wiederherstellungsphrase oder einem manuellen Wiederherstellungsprozess vorzuziehen.
  3. Klicke nicht auf Links in E-Mails von Personen, denen du nicht vertraust. Überprüfe auch die E-Mail-Adresse des Absenders, um sicherzustellen, dass die E-Mail vom angegebenen Absender stammt.
  4. Gebe niemals deine persönlichen Daten weiter. Wenn du von jemandem kontaktiert wirst, sei es am Telefon, per E-Mail oder über soziale Medien, gebe ihm niemals deine PIN/Passphrase, deine Wiederherstellungsphrase, deinen privaten Schlüssel, deine Bank- und Kreditkarteninformationen, dein Geburtsdatum und deine Sozialversicherungs- und Sozialversicherungsnummern.

SwissBorg ist bestrebt, seinen Nutzern durch unser integriertes Zwei-Faktor-Authentifizierungssystem (2FA) ein Höchstmaß an Sicherheit zu bieten. Durch die Verwendung des Geräteschlüssels und der von dir gewählten PIN oder Passphrase stellen wir sicher, dass dein Konto gut vor unbefugtem Zugriff geschützt ist. Obwohl viele glauben, dass zusätzliche Faktoren wie Einmalpasswörter die Sicherheit erhöhen könnten, ist unser bestehendes System bereits robust und basiert auf kryptographischen Schlüsseln, die dein Gerät niemals verlassen. Wir ermutigen unsere Nutzerinnen und Nutzer, starke Passphrasen zu verwenden, Passkeys zu benutzen und gegenüber Phishing-Versuchen wachsam zu sein, um ihre Vermögenswerte zusätzlich zu schützen. Bei SwissBorg steht deine Sicherheit an erster Stelle, damit du dich auf das konzentrieren kannst, was wirklich wichtig ist: die Vermehrung deines Vermögens in der Welt der Kryptowährungen.

Übersetzt von CHRiS B, Community-Mitglied

DAS KÖNNTE DICH AUCH INTERESSIEREN

Penetration testing on SwissBorg app

SwissBorg-App bei Penetrationstest als hochsicher eingestuft

SwissBorg bedeutet Vertrauen: Wir engagieren uns für Sicherheit und Vertrauen

Alpha-Möglichkeit -  Aktuelle Performance

Alpha-Möglichkeit -  Aktuelle Performance