[English]Kleiner Hinweis für meine Blog-Leserschaft. Es sind so scheinbare Gewissheiten, die uns sicherheitstechnisch das Gefühl 'gut gesichert und aufgehoben zu sein' vermitteln. Man braucht nur eine Multifaktor Authentifizierung (MFA) und eine gute Sicherheitssoftware, dann ist alles sicher. Zum 17. Dezember 2020 ist der Titel 'Multifactor Authentication' von Roger A. Grimes (Verlag Wiley) in Englisch herausgekommen. Da ich hier im Blog häufiger über Sicherheitsthemen berichte, habe ich vorab ein Exemplar des Buches bekommen und dieses vor einer Woche mal quer gelesen.
Anzeige
Vorab: Ich war ja skeptisch, als die Anfrage kam 'wollen sie ein Exemplar zum Rezensieren', sind mir in den letzten Monaten doch Titel zugegangen, wo ich mich mit Rezensionen schwer getan habe. Ich stehe mir vielleicht auch zu häufig selbst im Weg, denn nach über 200 Titeln, die ich die letzten 35 Jahre verfasst habe, bekommt man eine bestimmten Blick auf die jeweiligen Titel: Gibt es einen Markt, wie ist das Ganze produktionstechnisch umgesetzt worden und was ist inhaltlich dazu zu sagen. Und bei diesem Buch?
Ich formuliere es mal so: Es gibt eine gute und viele schlechte Nachrichten. Die gute Nachricht: Es gibt jetzt ein Buch, welches die diversen Möglichkeiten beschreibt, um Sicherheitsfunktionen zu umgehen und Systeme zu hacken. Die schlechte Nachricht lautet nach dem Querlesen des Buches: Alles ist hackbar und Multifactor Authentifizierung ist oft nicht das Papier wert, auf dem der Begriff gedruckt ist. Das Einzige, was Sicherheitsverantwortliche tun können: Sich die möglichen Angriffswege anzuschauen und die potentiellen Fehlerquellen oder Schwachstellen bestmöglich zu eliminieren bzw. zu entschärfen.
Der Autor Roger A. Grimes weiß, wovon er schreibt, ist er doch seit über 2 Jahrzehnten in diesem Geschäft. Als Principal Security Architect bei Microsoft arbeitet er mit Microsoft Windows, Linux und BSD. Zudem ist er Autor von 10 Büchern und über 1000 nationalen Zeitschriftenartikeln über Computersicherheit. Roger A. Grimes ist spezialisiert auf Host-Sicherheit und die Verhinderung von Hacker- und Malware-Angriffen. Daher ist er auch ein häufiger Redner auf nationalen Computersicherheitskonferenzen, war seit 2005 Sicherheitskolumnist der Zeitschriften InfoWorld und CSO und ist ehemaliger Ausbilder und Penetrationstester für Foundstone.
Darum geht es: Die Kurzfassung
Mehr und mehr digitale Umgebungen setzen eine Multi-Factor-Authentifizierung (MFA) ein. Trotzdem wurden und werden Millionen US-Dollar aus MFA-geschützten Online-Konten gestohlen. Wie ist das möglich? Den meisten Menschen, die die Multi-Faktor-Authentifizierung (MFA) verwenden, wurde gesagt, dass sie sicherer ist als andere Arten der Authentifizierung. Tatsächlich sind alle MFA-Lösungen leicht zu hacken. Das ist richtig: Es gibt keine vollkommen sichere MFA-Lösung. Die meisten können auf mindestens fünf verschiedene Arten gehackt werden. Das Buch Hacking Multifactor Authentication zeigt, wie MFA hinter den Kulissen funktioniert und wie schlecht verknüpfte mehrstufige Authentifizierungsschritte es ermöglichen, MFA zu knacken und zu kompromittieren. Hacking Multifactor Authentication umfasst 25 Kapitel, die sich in drei Teile unterteilen:
Anzeige
Part I: Introduction
Part II: Hacking MFA
Part III: Looking Forward
Nach dem Querlesen des Titels bin ich persönlich begeistert. Im Buch geht er in 25 Kapiteln, untergliedert in den oben erwähnten drei Abschnitten, auf Grundlagen und Hacking-Techniken ein, gibt aber zum Abschluss auch einige Hinweise, was man im Hinblick auf sichere Systeme besser machen kann und wie es um die Zukunft der Authentifizierung bestellt ist. Den Titel liest man nicht einfach mal quer und hat dann das Wissen aus 520 Seiten intus. Vielmehr wird man sich das Buch, wenn es um die Absicherung eines Zugangs geht, neben den Monitor legen, um die relevanten Abschnitte durchzugehen. Dort lässt sich abprüfen, ob bestimmte Probleme vermieden wurden.
Was mir besonders gefallen hat: Roger A. Grimes plaudert aus seinem reichhaltigen Erfahrungsschatz, z.B. schildert er Klimmzüge, die die Microsoft Entwickler bei Windows Vista bei der Implementierung der Benutzerkontensteuerung absolvieren mussten, um eine Fake-Anzeige durch Malware, die einem Administrator die Zugangsdaten abluchst, zu verhindern. Oder Du erfährst, dass man die eine oder andere Sicherheitsmaßnahme zwar einführen könnte, in Firmen wie Microsoft aber oft Hindernisse bestehen, so etwas praktisch umzusetzen. Sicherheit ist ja immer ein Kompromiss, der auch den Komfort für die Benutzer nicht aus den Augen verlieren darf. Ich denke, der Titel ist eine nützliche Lektüre für Alle, die sich mit dem Thema Sicherheit bei Zugangssystemen befassen und mehr über Multifaktor-Authentifizierung und deren Risiken wissen möchten.
Hacking Multifactor Authentication (Englisch)
Taschenbuch – 17. Dezember 2020
Herausgeber : Wiley; 1. Edition (17. Dezember 2020)
Sprache: : Englisch
Taschenbuch : 576 Seiten
ISBN-10 : 1119650798
ISBN-13 : 978-1119650799
Abmessungen : 18.73 x 3.3 x 23.5 cm
Preis: 28,60 Euro
Hinweis: Bei einer Bestellung über diesen Amazon-Link wird mir eine geringe Provision gut geschrieben.
Anzeige
@günni
…weisst du eventuell, wann das auf deutsch erhältlich sein wird?!
Keine Ahnung, das Teil ist ja erst (m.W.) weltweit in der englischsprachigen Erstausgabe erschienen. Wiley wird schauen, wie sich der Titel verkauft. Über 500 Seiten zu übersetzen ist schon ein dickeres Brett. Ohne Kontakt zu Wiley tappe ich auch im Dunkeln.
Jedes System kann missbraucht werden. Kein Wunder, denn bei der Anzahl Codezeilen, die für eine Anwendung notwendig sind, ist es unmöglich eine 100 Prozentige Sicherheit zu gewährleisten. Sonst würde eine Anwendung mindestens 100 Jahre Programmierzeit in Anspruch nehmen, bis sie ausgereift ist. Und in dieser Zeit hätte die Technik sich voll und ganz geändert und würde die Anwendung unbrauchbar machen. Beispiele: Windows = 60 Mio. Codezeilen, Google = ca. 110 Mio. Codezeilen, Facebook = 62 Mio. Codezeilen. Mehr? https://t3n.de/news/1276_lines_of_code_sep2015_fb/