Schwachstelle in Zwei-Faktor-Authentifizierung bei Paypal entdeckt

Fehler in der Umsetzung des Systems lassen den Schutz ins Leere laufen.

06/30/2014 | Bochum 

Die Zwei-Faktor-Authentifizierung gilt als besonders sicher gegen Internet-Kriminelle, auch wenn sie den Benutzernamen und das Passwort kennen. Doch im Modell von Paypal sind Fehler in der Umsetzung aufgetaucht. Das eBay-Tochterunternehmen hat die Sicherheitslücke bereits eingestanden und arbeitet an einer Lösung. Derweil behilft sich der Online-Bezahldienst mit einer Zwischenlösung und deaktiviert den Zugriff von Apps auf entsprechend gesicherte Konten. Der Fehler wurde in der Kommunikation von Apps zum Bezahldienst festgestellt.

 

Was ist passiert?

Sicherheitsforscher haben einen Weg gefunden den Sicherheitsmechanismus auszuhebeln. Die Sicherheitslücke betrifft eine Schnittstelle (API) über die Apps mit dem Bezahldienst kommunizieren. Eigentlich unterstützen die mobilen Anwendungen die Zwei-Faktor-Authentifizierung nicht, aber dennoch konnten sich die Forscher auf solche gesicherten Konten anmelden und Geld überweisen.

 

Was ist eine Zwei-Faktor-Authentifizierung?

Die Zwei-Faktor-Authentifizierung ist ein Sicherheitsverfahren, das als Identitätsnachweis nicht nur auf Benutzername und Passwort setzt, sondern zudem einen temporär gültigen Code anfordert. Dieser Code wird beispielsweise per SMS aufs Handy geschickt. Die Technik ist als sicher anzusehen, wenn die Anmeldung und der Code-Empfang auf unterschiedlichen Geräten stattfinden.


cl