Multifaktor-Authentifizierung (MFA)
Was ist Multifaktor-Authentifizierung (MFA)?
Bei der Multifaktor-Authentifizierung (MFA) werden zwei oder mehr unabhĂ€ngige Berechtigungsnachweise kombiniert: etwas, was der Benutzer weiĂ, zum Beispiel ein Kennwort; etwas, was der Benutzer hat, zum Beispiel ein Sicherheits-Token; und etwas, was der Benutzer ist, zum Beispiel durch die Verwendung biometrischer Verifizierungsmethoden.
Das Ziel von MFA ist es, eine mehrschichtige Verteidigung zu schaffen, die es einer unbefugten Person erschwert, auf ein Ziel zuzugreifen, zum Beispiel auf einen physischen Standort, ein ComputergerĂ€t, ein Netzwerk oder eine Datenbank. Wenn ein Faktor kompromittiert oder gebrochen wird, muss der Angreifer immer noch mindestens eine oder mehrere Barrieren ĂŒberwinden, bevor er erfolgreich in das Ziel eindringen kann.
In der Vergangenheit beruhten MFA-Systeme in der Regel auf einer Zwei-Faktor-Authentifizierung (2FA). Zunehmend verwenden die Anbieter den Begriff Multifaktor-Authentifizierung, um jedes Authentifizierungsschema zu beschreiben, das zwei oder mehr IdentitÀtsnachweise erfordert, um die Möglichkeit eines Cyberangriffs zu verringern. Die Multifaktor-Authentifizierung ist eine Kernkomponente eines IdentitÀts- und Zugriffsverwaltungssystems (IAM, Identity and Access Management).
Die Bedeutung der Multifaktor-Authentifizierung
Einer der gröĂten Schwachpunkte herkömmlicher Anmeldungen mit Benutzer-ID und Passwort besteht darin, dass Passwörter leicht kompromittiert werden können. Dies kann fĂŒr Unternehmen verheerende Folgen haben. Brute-Force-Angriffe sind ebenfalls eine reale Bedrohung, da böswillige Akteure automatisierte Tools verwenden können, um verschiedene Kombinationen von Benutzernamen und Passwörtern zu erraten, bis sie die richtige Reihenfolge gefunden haben. Obwohl die Sperrung eines Kontos nach einer bestimmten Anzahl falscher Anmeldeversuche zum Schutz eines Unternehmens beitragen kann, stehen Angreifern zahlreiche andere Methoden fĂŒr den Systemzugang zur VerfĂŒgung. Aus diesem Grund ist die Multifaktor-Authentifizierung so wichtig, da sie dazu beitragen kann, Sicherheitsrisiken zu verringern.
MFA-Authentifizierungsmethoden
Ein Authentifizierungsfaktor ist eine Kategorie von Berechtigungsnachweisen, die zur IdentitĂ€tsĂŒberprĂŒfung verwendet werden. Bei MFA soll jeder zusĂ€tzliche Faktor die Gewissheit erhöhen, dass eine Einheit, die an einer Art von Kommunikation beteiligt ist oder Zugang zu einem System beantragt, diejenige oder derjenige ist, fĂŒr den sie sich ausgibt. Die Verwendung mehrerer Formen der Authentifizierung kann dazu beitragen, die Arbeit eines Angreifers zu erschweren.
Die drei gebrĂ€uchlichsten Kategorien oder Authentifizierungsfaktoren werden oft als âetwas, das Sie wissenâ oder der Wissensfaktor, âetwas, das Sie habenâ oder der Besitzfaktor und âetwas, das Sie sindâ oder der InhĂ€renzfaktor beschrieben. MFA funktioniert durch die Kombination von zwei oder mehr Faktoren aus diesen Kategorien.
Wissensfaktor. Bei der wissensbasierten Authentifizierung muss der Benutzer in der Regel eine persönliche Sicherheitsfrage beantworten. Zu den Wissensfaktor-Technologien gehören im Allgemeinen Passwörter, vierstellige persönliche Identifikationsnummern (PINs) und Einmalpasswörter (OTPs). Zu den typischen Benutzerszenarien gehören die folgenden:
- das Durchziehen einer Debitkarte wie beispielsweise einer girocard und die Eingabe einer PIN an der Supermarktkasse;
- das Anmelden mit einem Kennwort und einer Kennung;
- Herunterladen eines Clients fĂŒr ein virtuelles privates Netzwerk mit einem gĂŒltigen digitalen Zertifikat und Einloggen in das VPN, bevor man Zugang zu einem Netzwerk erhĂ€lt; und
- das Beantworten einer typischen Sicherheitsfrage, die man in einem System hinterlegt hat.
Besitzfaktor. Benutzer mĂŒssen etwas Bestimmtes in ihrem Besitz haben, um sich anzumelden, zum Beispiel einen Ausweis, einen Token, einen SchlĂŒsselanhĂ€nger oder eine SIM-Karte. Bei der mobilen Authentifizierung bietet ein Smartphone in Verbindung mit einer OTP-App hĂ€ufig den Besitzfaktor.
Zu den Technologien mit dem Faktor Besitz gehören die folgenden:
- Sicherheits-Token sind kleine Hardware-GerÀte, die die persönlichen Daten eines Benutzers speichern und zur elektronischen Authentifizierung der IdentitÀt dieser Person verwendet werden. Bei dem GerÀt kann es sich um eine Smartcard, einen in einen Gegenstand eingebetteten Chip (zum Beispiel ein USB-Speichermedium) oder ein Wireless Tag handeln.
- Eine softwarebasierte Sicherheits-Token-Anwendung generiert eine einmalige Anmelde-PIN. Soft-Tokens werden hĂ€ufig fĂŒr die mobile Multifaktor-Authentifizierung verwendet, bei der das GerĂ€t selbst â zum Beispiel ein Smartphone - den Besitzfaktor Authentifizierung bereitstellt.
Typische Benutzerszenarien fĂŒr den Faktor Besitz sind die folgenden:
- mobile Authentifizierung, bei der die Nutzer ĂŒber ihr Smartphone einen Code erhalten, um Zugang zu erhalten oder zu gewĂ€hren - zu den Varianten gehören Textnachrichten und Telefonanrufe, die als Out-of-Band-Methode an einen Nutzer gesendet werden, Smartphone-OTP-Apps, SIM-Karten und Smartcards mit gespeicherten Authentifizierungsdaten; und
- AnschlieĂen eines USB-Hardware-Tokens an einen Desktop, der ein Einmalpasswort (OTP) generiert, und Verwendung dieses Tokens zur Anmeldung bei einem VPN-Client.
InhĂ€renzfaktor. Alle biometrischen Merkmale des Benutzers, die fĂŒr die Anmeldung bestĂ€tigt werden. Zu den InhĂ€renzfaktorverfahren gehören die folgenden biometrischen ĂberprĂŒfungsmethoden:
- Netzhaut- oder Irisscan
- Fingerabdruckscan
- Stimmauthentifizierung
- Handgeometrie
- Gesichtserkennung
- Ohrgeometrie
Zu den Komponenten des biometrischen Verfahrens gehören ein LesegerĂ€t, eine Datenbank und Software zur Umwandlung der gescannten biometrischen Daten in ein standardisiertes digitales Format und zum Vergleich von Ăbereinstimmungen zwischen den festgestellten Daten und den gespeicherten Daten.
Zu den typischen Szenarien fĂŒr den InhĂ€renzfaktor gehören die folgenden:
- die Verwendung eines Fingerabdrucks oder einer Gesichtserkennung fĂŒr den Zugriff auf ein Smartphone;
- Bereitstellung einer digitalen Unterschrift an einer Einzelhandelskasse.
Der Standort des Nutzers wird hĂ€ufig als vierter Faktor fĂŒr die Authentifizierung vorgeschlagen. Auch hier kann die AllgegenwĂ€rtigkeit von Smartphones dazu beitragen, die Authentifizierung zu erleichtern: Die Benutzer tragen ihre Telefone in der Regel bei sich, und Smartphones unterstĂŒtzen in der Regel GPS, was eine glaubwĂŒrdige BestĂ€tigung des Anmeldeortes erlaubt.
Die zeitbasierte Authentifizierung wird ebenfalls verwendet, um die IdentitÀt einer Person nachzuweisen, indem die Anwesenheit zu einer bestimmten Tageszeit festgestellt und der Zugang zu einem bestimmten System oder Ort gewÀhrt wird. Beispielsweise können Bankkunden ihre Geldautomatenkarte nicht physisch in Deutschland und 15 Minuten spÀter in Kanada benutzen. Diese Art von logischen Sperren kann dazu beitragen, viele FÀlle von Online-Bankbetrug zu verhindern.
Die Vor- und Nachteile der Multifaktor-Authentifizierung
Die Multifaktor-Authentifizierung wurde eingefĂŒhrt, um den Sicherheitszugang zu Systemen und Anwendungen durch Hardware und Software zu verstĂ€rken. Ziel war es, die IdentitĂ€t der Benutzer zu authentifizieren und die IntegritĂ€t ihrer digitalen Transaktionen zu gewĂ€hrleisten. Der Nachteil von MFA ist, dass Benutzer oft die Antworten auf die persönlichen Fragen zur ĂberprĂŒfung ihrer IdentitĂ€t vergessen und dass einige Benutzer persönliche ID-Tokens und Passwörter gemeinsam nutzen. MFA hat weitere Vor- und Nachteile.
Vorteile der Multifaktor-Authentifizierung
- bietet zusÀtzliche Sicherheitsschichten auf der Ebene der Hardware, der Software und der persönlichen ID;
- kann an Telefone gesendete Einmalpasswörter verwenden, die nach dem Zufallsprinzip in Echtzeit generiert werden und fĂŒr Angreifer schwer zu knacken sind;
- reduziert Sicherheitsverletzungen im Vergleich zur alleinigen Verwendung von Passwörtern erheblich;
- kann von den Nutzern leicht eingerichtet werden;
- hilft Unternehmen bei der ErfĂŒllung gesetzlicher und regulatorischer Vorschriften;
- ermöglicht es Unternehmen, den Zugang nach Tageszeit oder Standort zu beschrÀnken; und
- hat skalierbare Kosten, da es teure und hochentwickelte MFA-Tools gibt, aber auch gĂŒnstigere fĂŒr kleine Unternehmen.
- Verbessert die SicherheitsmaĂnahmen und ReaktionsfĂ€higkeit von Unternehmen, da sie ein Multifaktor-Authentifizierungssystem einrichten können, das aktiv eine Warnung generiert, sobald fragwĂŒrdige Anmeldeversuche erkannt werden.
- Bietet eine adaptive Authentifizierung, die bei Arbeitsplatzwechseln hilft, da immer mehr Mitarbeiter von zu Hause aus arbeiten.
Nachteile der Multifaktor-Authentifizierung
- unter UmstÀnden wird ein GerÀt wie ein Smartphone benötigt, um einen Code zu erhalten;
- Hardware-Token können verloren gehen oder gestohlen werden;
- Die biometrischen Daten, die von MFA-Algorithmen fĂŒr persönliche IDs berechnet werden, wie zum Beispiel DaumenabdrĂŒcke, sind nicht immer genau und können zu falsch positiven oder negativen Ergebnissen fĂŒhren;
- Die MFA-ĂberprĂŒfung kann bei einem Netzwerk- oder Internetausfall fehlschlagen; und
- Die MFA-Techniken mĂŒssen stĂ€ndig verbessert werden, um vor Kriminellen zu schĂŒtzen, die unablĂ€ssig daran arbeiten, sie zu knacken.
Multifaktor-Authentifizierung vs. Zwei-Faktor-Authentifizierung
Als die ersten Authentifizierungsstrategien eingefĂŒhrt wurden, bestand die Absicht darin, die Sicherheit zu erhöhen, sie aber auch so einfach wie möglich zu halten. Die Benutzer wurden aufgefordert, nur zwei Formen von SicherheitsschlĂŒsseln anzugeben, die dem System mitteilen sollten, dass sie authentische und autorisierte Benutzer sind. Eine gĂ€ngige Form der 2FA (Zwei-Faktor-Authentifizierung) ist Bankkarte und PIN fĂŒr den Geldautomaten. In der IT dominierte lange die Ein-Faktor-Authentifizierung (SFA), bei der Anwender sich mit ihrer Benutzerkennung und einem Passwort an einem System anmelden können.
Leider entdeckten Kriminelle schnell Möglichkeiten, Passwörter zu kaufen oder zu knacken oder Debitkarten an Geldautomaten abzufischen. Dies veranlasste Unternehmen und Sicherheitsanbieter dazu, nach robusteren Formen der Benutzerauthentifizierung zu suchen, die zusĂ€tzliche Sicherheitsfaktoren fĂŒr die ĂberprĂŒfung verwenden.
WĂ€hrend MFA mindestens zwei Authentifizierungsfaktoren erfordert, wenn nicht sogar mehr, erfordert 2FA nur zwei. Daher ist jede 2FA auch eine MFA, aber nicht umgekehrt.
Was ist adaptive Multifaktor-Authentifizierung?
Die adaptive Multifaktor-Authentifizierung ist ein Sicherheitsansatz, bei dem anhand von unternehmensinternen Regeln und Kontextinformationen ausgewÀhlt wird, welche Authentifizierungsfaktoren auf den Anmeldeversuch eines Benutzers angewendet werden. Sie wird auch als adaptive MFA oder risikobasierte Authentifizierung bezeichnet.
Bei der herkömmlichen MFA werden festgelegte Anmeldedaten und ein zweiter Faktor verwendet, aber die adaptive MFA ist etwas komplexer, da sie die Authentifizierung automatisch anpasst, indem sie mehrere Variablen wie den Standort des Benutzers, das verwendete GerĂ€t, die Anzahl der fehlgeschlagenen Anmeldeversuche, das Benutzerverhalten und die Umgebung berĂŒcksichtigt. Diese Strategie erschwert es Angreifern, sich unbefugten Zugang zu verschaffen, da die Authentifizierung auf den Risikograd abgestimmt ist.
Den Herausforderungen der Multifaktor-Authentifizierung begegnen
die HinzufĂŒgung von Sicherheitsfaktoren bei MFA wird die Benutzerfreundlichkeit fĂŒr Benutzer, die sich mehrere Passwörter merken mĂŒssen, weiter erschwert. Daher besteht das Ziel von Multifaktor-Authentifizierung darin, die MFA-Techniken fĂŒr die Benutzer zu vereinfachen.
Die folgenden vier AnsÀtze werden zur Vereinfachung der MFA angewandt:
Adaptive MFA. Wie oben beschrieben, werden dabei Wissen, Unternehmensregeln oder Richtlinien auf benutzerbasierte Faktoren wie GerĂ€t oder Standort angewendet. Ein Unternehmens-VPN weiĂ beispielsweise, dass es fĂŒr einen Benutzer in Ordnung ist, sich von zu Hause aus anzumelden, da es den Standort des Benutzers erkennt und das Risiko eines Missbrauchs oder einer GefĂ€hrdung bestimmen kann. Aber ein Mitarbeiter, der von einem CafĂ© aus auf das VPN zugreift, löst das System aus und muss MFA-Anmeldedaten eingeben.
Single Sign-On (SSO). Diese zentrale Authentifizierungsmethode ermöglicht es Benutzern, ein einziges Konto zu pflegen, mit dem sie sich automatisch bei mehreren Anwendungen oder Websites mit einer einzigen ID und einem einzigen Passwort anmelden können. Single Sign-On funktioniert, indem es die IdentitÀt des Benutzers feststellt und diese Informationen dann an jede Anwendung oder jedes System weitergibt, das sie benötigt.
Push-Authentifizierung. Hierbei handelt es sich um eine automatisierte Authentifizierungstechnik fĂŒr mobile GerĂ€te, bei der das Sicherheitssystem automatisch einen dritten, einmalig verwendbaren Identifizierungscode an das mobile GerĂ€t des Benutzers ausgibt. Beispielsweise geben Benutzer, die auf ein gesichertes System zugreifen wollen, ihre Benutzer-ID und ihr Kennwort ein, und ein Sicherheitssystem gibt automatisch einen dritten Einmal-Identifikationscode an ihr mobiles GerĂ€t aus. Die Benutzer geben diesen Code in das System ein, um Zugang zu erhalten. Die Push-Authentifizierung vereinfacht die MFA, indem sie den Benutzern einen dritten Code zur VerfĂŒgung stellt, den sie sich nicht mehr merken mĂŒssen.
Passwortlose Authentifizierung. Bei der passwortlosen Authentifizierung wird auf die Verwendung herkömmlicher Passwörter verzichtet und stattdessen auf zusĂ€tzliche Authentifizierungsfaktoren wie Hardware-Token oder biometrische Verfahren, einschlieĂlich Fingerabdruck- und Gesichtserkennung, zurĂŒckgegriffen. Da es schwierig ist, sich Passwörter zu merken, erleichtert dies den Benutzern die Authentifizierung und verbessert die Sicherheitslage eines Unternehmens, da die meisten Phishing-Angriffe auf Passwortschwachstellen abzielen, um unbefugten Zugriff zu erlangen.
