fbpx
mobile-logo

Multi-Faktor-Authentifizierung

24 Mrz

Multi-Faktor-Authentifizierung

by pfadp
in IT-Sicherheit, Neuigkeiten, optimIT
Comments

Das verbotene Geschäft mit Identitätsdaten boomt! Ob Zoom, Facebook oder Microsoft: Seit mehreren Jahren reißen die Meldungen über gelungene Hacks, ungepatchte Sicherheitslücken sowie gravierende Daten- und Passwort-Lecks nicht ab. Ganz im Gegenteil, die Datenskandale häufen sich zunehmend und verursachen jährlich einen enormen wirtschaftlichen Schaden.

Erst publizierten Internetkriminelle im Darknet eine Datenbank mit rund 3,2 Milliarden Zugangsdaten, die gemäß den IT-Sicherheitsexperten des Online-Magazins Cybernews, im Zuge älterer Angriffe und Datenlecks bei namenhafte Organisationen wie Netflix und LinkedIn erbeutet wurden.

Das derartige Datensammlungen im Darknet angeboten werden ist nichts Neues. Doch in diesem Tatbestand gibt es eine besorgniserregende Besonderheit: Die Zugangsdaten liegen unverschlüsselt und prinzipiell für jeden frei zugänglich vor, sodass sie von Internetkriminellen einfach für identitätsbasierte Angriffe und umfassende Phishing-Attacken genutzt werden können.

Im Zuge dieser Bedrohungslage ist es allerhöchste Zeit, dass Betriebe stabile Authentifizierungsprozesse einführen.

Die Kombination macht den Schutz aus!

In Zeiten steigender Digitalisierung, Vernetzung und hybriden Infrastrukturen nehmen identitätsbasierte Internetattacken zu.

Um sich vor derartigen Sicherheitsbedrohungen zu schützen, ist der Einsatz einer Multi-Faktor-Authentifizierung elementar. Sie bieten Betrieben einen zweifelsfreien Identitätsschutz und sorgen für eine sichere Zugriffskontrolle.

Im Gegensatz zu einer Ein-Faktor-Authentifizierung, die auf einer Abfrage von Benutzernamen und Passwort beruht, verwendet die Multi-Faktor-Authentifizierung die Verknüpfung mehrerer verschiedener und insbesondere selbständiger Identitätsnachweise, um die Identität eines Anwenders vor dem Zugriff auf eine gewünschte Applikation, ein Benutzerkonto oder eine VPN zu kontrollieren.

Prinzipiell lassen sich die Identitätsnachweise in drei verschiedene Kategorien unterteilen:

  • Wissen: Dinge, die nur der Anwender „weiß“ oder „kennt“. – Zu diesem Punkt zählen Nutzernamen und Passwörter, PIN-Codes, aber auch Antworten auf geheime Sicherheitsfragen.
  • Besitz: Dinge, die nur der Benutzer besitzt. – Zu diesem Punkt zählen digitale Zertifikate, digitale Software Token wie beispielsweise Microsoft Authenticator, Google Authenticator oder physische Token wie Smartcards.
  • Inhärenz: Dinge, die einen Nutzer eindeutig auszeichnen und nicht änderbar sind. – Dazu gehören vor allem biometrische Merkmale wie Fingerabdrücke, Stimmmuster oder Iris-Scans.

Da die Multi-Faktor-Authentifizierung heutzutage auch maschinelles Lernen (ML) und künstliche Intelligenz (KI) integriert, sind ebenso standortbasierte, adaptive oder risikobasierte Identitätsnachweise realisierbar.

Standortbasierte Identitätsnachweise:

  • Bei einer Identitätsprüfung mit standortbasierten Identitätsnachweisen wird die IP-Adresse, oder aber der geografische Standort des Users geprüft. Wenn sich der Benutzer nicht an einem per Whitelist anerkannten Ort aufhält, wird der Zugang verweigert.

Adaptive/ risikobasierte Identitätsnachweise:

  • Bei einer Authentifizierung mit adaptiven/ risikobasierten Identitätsnachweisen werden darüber hinaus die beiden Identitätsnachweise „Kontext“ und „Benutzerverhalten“ analysiert, um das mit dem Zugriffsversuch verbundene Risiko einzuordnen.

Dazu zählen:

  • Von wo aus versucht der Anwender, auf die Anwendung oder Daten zuzugreifen?
  • Wann findet der Zugriffsversuch statt? In der Arbeitszeit oder nach Feierabend?
  • Welches Endgerät wird für den Zugriffsversuch eingesetzt? Genau dasselbe Endgerät wie am Vortag?
  • Wird die Verbindung über ein privates oder ein öffentliches Netzwerk hergestellt?

Die Risikostufe wird anhand der Antworten auf diese Fragen berechnet. Ist die Gefahr groß, wird der Nutzer zur Übermittlung zusätzlicher Identitätsnachweise angewiesen.

Des einen Zuviel ist des anderen Zuwenig!

Bei der Zwei-Faktor-Authentifizierung handelt es sich um einen Sonderfall der Multi-Faktor-Authentifizierung. Im Gegensatz zur Multi-Faktor-Identitätsprüfung, die für die Authentifizierung die Verbindung von mehr als zwei Identitätsnachweisen fordert, sind bei der Zwei-Faktor-Authentifizierung bloß zwei Faktoren erforderlich. Demnach ist jede Zwei-Faktor-Authentifizierung eine Multi-Faktor-Authentifizierung, aber nicht jede Multi-Faktor-Authentifizierung eine Zwei-Faktor-Authentifizierung.

Ein häufiger Fehler, der bei der Zwei-Faktor-Authentifizierung auftritt, ist das zwei Identitätsnachweise desselben Faktors abgefragt werden: Beispielsweise wird vor dem Login via Benutzerkennung und Passwort, ein weiteres Login-Formular mit einem Gruppenpasswort oder individuellen Sicherheitsfragen geschaltet.

Das Dilemma hierbei ist, dass Attackierender mittels eines Phishing-Angriffs sowohl an die Login-Informationen als auch das Gruppenpasswort und die persönlichen Sicherheitsfragen gelangen können. Aus diesem Grund ist dieses Authentifizierungsverfahren, genaugenommen, keine Zwei-Faktor-Identitätsprüfung, da keine unabhängigen Identitätsnachweise zum Einsatz kommen.

Authentifikatoren: Der Schlüssel im Schlüssel!

Passwörter sind die vorrangige Verteidigungslinie im Kampf gegen Datendiebstahl. Allerdings herrscht in vielen Unternehmen ein laxer Umgang mit Passwörtern, was dazu führt, dass laut dem „Data Breach Investigations Report 2020“ von Verizon 80 % aller Sicherheitsverletzungen durch schwache, mehrfach benutzte oder gestohlene Passwörter verursacht werden.

Da Passwörter diverse Sicherheitsrisiken in sich tragen, kommt es für einen hochwirksames Authentifizierungsverfahren auf – zumindest – einen zusätzlichen Faktor an, der beim Authentifizierungsprozess verifiziert werden muss.

Hier kommen Multi-Faktor-Authentifikatoren oder Single Factor-Authentifikatoren ins Spiel:

Multi-Faktor-Authentifikator

… sind Authentifikatoren in Form von Software, Token oder Smartphones, die einen zweiten unabhängigen Identitätsnachweis in Form eines Passworts (Faktor: Wissen) oder eines Fingerabdrucks (Faktor: Inhärenz) erfordern, ehe sie zur Identitätsprüfung verwendet werden können.

Möchte ein Benutzer, beispielsweise sein Smartphone als Authentifikator für den Zugriff auf eine Website verwenden, MUSS das Smartphone zu Beginn mit einer PIN (Wissen) oder einem Fingerabdruck (Inhärenz) aktiviert werden. Anschließend kann der Schlüssel auf dem Smartphone für den Zugriff auf die Website benutzt werden.

Single Factor (SF)-Authentifikatoren

… sind Authentifikatoren, die keinen zweiten unabhängigen Identitätsnachweis benötigen, um benutzt zu werden.

Möchte ein Nutzer ein One-Time Password von einer OTP-Anwendung auf sein Smartphone erhalten, benötigt das keine weitere Aktivierung (ein einziger Authentifikator), keine Fingerabdruckerfassung (ein einziger Authentifikator) oder kein auswendig gelerntes Geheimnis.

Viel bringt viel!

In der Summe lässt sich sagen, dass für die Implementierung einer modernen IT-Sicherheit der Gebrauch einer Multi-Faktor-Authentifizierung ein erster relevanter Schritt ist.

Durch die Verwendung einer hochentwickelten Multi-Faktor-Authentifizierung können Firmen einen zweifelsfreien Identitätsschutz und eine sichere Zugriffskontrolle Ihrer Mitarbeiter gewährleisten.

Außerdem bieten Multi-Faktor-Authentifizierungslösungen, die auf einem kontextbezogenen und risikobasierten Ansatz aufbauen, mehr Sicherheit, Anwenderfreundlichkeit und Kosteneffektivität.

Bei weiteren Fragen oder Interesse einer optimalen Multi-Faktor-Authentifizierungslösung, wenden Sie sich gerne jederzeit an uns.