FIDO2, entwickelt von der Fast Identity Online (FIDO) Alliance, stellt eine fortschrittliche Authentifizierungslösung dar, die traditionelle Passwörter durch physische oder eingebettete Schlüssel ersetzt. Diese Technologie gilt allgemein als widerstandsfähig gegen Man-in-the-Middle (MITM)-, Phishing- und Session-Hijacking-Angriffe. Eine Studie zeigt jedoch, dass diese Schutzmaßnahmen nicht unüberwindbar sind.
Die Forscher konzentrierten sich auf den WebAuthn-Authentifizierungsablauf und die Client-zu-Authentifikator-Protokolle (CTAP), die den gesamten Prozess über den Browser steuern. Obwohl FIDO2 auf einer öffentlichen Schlüsselkryptografie basiert, bei der der Client sowohl private als auch öffentliche Schlüssel generiert, offenbaren die Untersuchungen, dass nach der Authentifizierung erstellte Sitzungstokens oft unzureichend geschützt sind.
Besonders anfällig für MITM-Angriffe sind Szenarien, in denen Angreifer eine vertrauenswürdige Zertifizierung für das Zielopfer erlangen können. Moderne Browser erzwingen zwar eine sichere Authentifizierung über TLS, aber ein erfolgreicher MITM-Angriff würde die gesamten Inhalte des Authentifizierungsprozesses offenlegen. Nach Abschluss der Authentifizierung kann der Angreifer das generierte Sitzungscookie erwerben und die Sitzung des Opfers hijacken.
Die Studie zeigt, dass die robusten Sicherheitsmerkmale von FIDO2 nicht ausreichen, um die gesamte Benutzersitzung zu schützen. Es wird empfohlen, dass Anwendungsmanager, wenn möglich, Token Binding in den FIDO2-Authentifizierungsprozess integrieren oder zumindest die Verwendung jedes erfolgreich authentifizierten OIDC-Tokens oder SAML-Antwort auf einmal beschränken.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: