}

Was ist Multi-Faktor-Authentifizierung?

Und warum ist sie wichtig?

Was ist Multi-Faktor-Authentifizierung und warum ist sie wichtig?

Multi Factor Authentication (MFA) (deutsch: Multi-Faktor-Authentifizierung) ist ein Prozess der Account-Sicherheit, der zwei oder mehrere separate Schritte erfordert, damit ein Benutzer seine Identität nachweisen kann. Es bezieht sich am häufigsten auf die Anmeldung an einem Computer, Netzwerk, einer Anwendung oder einer anderen Ressource. Um einen Multi-Faktor-Authentifizierungsprozess abzuschließen, müssen Sie in jeder Phase bestimmte Anmeldeinformationen angeben oder bestimmte Bedingungen erfüllen. Während "Zwei-Faktor-Authentifizierung" nach wie vor ein beliebter Begriff ist, hat sich MFA zunehmend zum Oberbegriff entwickelt.

Menschen nutzen bereits MFA-Prozesse, um ihre Identitäten regelmäßig außerhalb von IT-Szenarien zu verifizieren. So benötigt beispielsweise eine Bankautomatenkarte eine persönliche Identifikationsnummer (PIN). Die Authentifizierung erfolgt nur, wenn sowohl die Karte als auch die PIN gemeinsam verwendet werden; sie authentifizieren nichts, was sich gegenseitig ausschließt.

Fast jeder kennt die heute gängigste Form der Authentifizierung: die Kombination von Benutzername und Passwort. Seit der Erstellung individueller Benutzerkonten für den Computer- und Anwendungszugriff sind Benutzernamen und Passwörter die Standardvoraussetzungen.

schloss

In den Vereinigten Staaten ist die durchschnittliche E-Mail-Adresse mit 130 verschiedenen Benutzerkonten verknüpft[i]. Die überwiegende Mehrheit dieser Benutzerkonten erfordert eine Kombination aus Benutzername und Passwort, um sich anzumelden. 2/3 der Benutzer verwenden Passwörter über mehrere Konten hinweg erneut, was zu einer Kettenreaktion führt, wenn eines davon angegriffen wird[ii].

Immer mehr Cloud-Ressourcen fügen den traditionellen Eingabeaufforderungen für Benutzernamen und Kennwörter zusätzliche Authentifizierungsschritte hinzu. Sollten die Zugangsdaten für den Benutzernamen und das Passwort des Benutzers gefährdet sein, benötigt man dennoch weitere Informationen oder Verfahren, um sich anzumelden. Einmal-PIN (oder ein "Einmal-Passwort") oder Verifizierungscodes können an den Benutzer per Text/SMS oder E-Mail gesendet werden. Die Eingabe dieser eindeutigen Werte entspricht dem zusätzlichen Authentifizierungsschritt. Online-Banking und Personal Finance Apps nutzen diese MFA-Methode regelmäßig, insbesondere wenn sich Benutzer mit neuen Geräten anmelden

5 Authentifizierungsfaktoren


Im Bereich der Authentifizierung ist ein "Faktor" etwas, mit dem die Identität eines Benutzers überprüft werden kann. So ist beispielsweise eine Kombination aus Benutzername und Passwort ein einziger Faktor. MFA kombiniert zwei oder mehr Faktoren, um den Authentifizierungsprozess sicherer zu machen. Für jeden Faktor, der für die Authentifizierung benötigt wird, wird es exponentiell schwieriger, sich als Benutzer auszugeben. MFA kann zwei oder mehr der folgenden Faktoren erfordern[iii]:

Wissen - bezieht sich auf "etwas, das man kennt". Wissen ist der häufigste Berechtigungsfaktor, der bei allen Authentifizierungsmethoden verwendet wird und Benutzername und Passwort beinhaltet. Auch Sicherheitsfragen, die auch "etwas erfordern, was der Benutzer weiß", werden mit diesem Faktor zusammengefasst. Es ist zu beachten, dass eine Kombination aus Benutzername und Passwort als ein einziger Faktor gilt. Das Gleiche gilt für eine Reihe von Sicherheitsfragen. Die Kombination von Benutzername und Passwort mit einer Sicherheitsfrage gilt nach wie vor als Ein-Faktor-Authentifizierung, da beide in diese Kategorie fallen.

Achtsamkeit - bezieht sich auf "etwas, das du bist". Dieser Authentifizierungsfaktor umfasst alle biometrischen Daten, die als Zugangsdaten dienen können. Beispiele sind Fingerabdrücke, DNA-, Gesichtserkennungs- und Netzhautscans. Diese Art der Authentifizierung wird immer beliebter bei mobilen Geräten mit integrierten Fingerabdruckscannern und Gesichtserkennung.

Besitz - bezieht sich auf "etwas, das man hat". Traditionell befanden sich Gegenstände wie Schlüsselkarten und Hardware-Token im Besitz von Benutzern. Einmalpasswörter, die per Text/SMS oder E-Mail an die Mobiltelefone der Nutzer gesendet werden, werden zunehmend unter diesem Faktor zusammengefasst. Der Einsatz mobiler Geräte trägt dazu bei, das Risiko des Verlusts physischer Gegenstände wie Scannerkarten zu verringern. In einigen Systemen fungiert das Gerät des Benutzers selbst als Faktor in dieser Kategorie, nachdem es als "vertrauenswürdiges Gerät" gekennzeichnet wurde.

Standort - bezieht sich auf alle geografischen oder netzwerkbasierten Einschränkungen, die den Authentifizierungsmethoden zur zusätzlichen Sicherheit hinzugefügt werden können. Neben anderen Faktoren müssen die Benutzer die Standortbedingungen erfüllen, die für die Authentifizierung der jeweiligen Ressource konfiguriert wurden. Beispielsweise dürfen Benutzer nur dann auf eine Anwendung zugreifen, wenn sie sich in Ihrem Unternehmensnetzwerk oder in einem bestimmten Land befinden.

Zeit - bezieht sich auf alle Einschränkungen, die hinzugefügt werden können, um die Authentifizierung innerhalb eines bestimmten Zeitraums zu gewährleisten. Auf diese Weise sind die Faktoren Zeit und Ort ähnlich. Zeitabhängige Faktoren sorgen für Sicherheit, wenn Ihre Benutzer in bestimmten Zeiträumen - z.B. außerhalb von 9-17 Uhr - keinen Grund zur Anmeldung haben. 

Zeit- und ortsbezogene Faktoren können kombiniert werden, um immer strengere Bedingungen zu schaffen. Falsche Authentifizierungsversuche können innerhalb eines zu engen Fensters und von zu weit weg auftreten, um legitim zu sein. 3 Versuche, sich innerhalb eines 10-minütigen Fensters bei Bobs Benutzerkonto anzumelden, sind nicht allzu verdächtig. Menschen geben die Anmeldeinformationen die ganze Zeit falsch ein. Es wäre jedoch verdächtig, wenn diese Versuche innerhalb desselben Zeitraums aus New York, Chicago und Los Angeles stammen würden.

Fragen? Kontaktieren Sie uns!


HelloID Whitepaper

Erhalten Sie unter anderem Antworten auf folgende Fragen:

  • Warum sollten Sie ein IDaaS-Tool wie HelloID nutzen?
  • Die 3 Stufen von HelloID Access Management
    • Authentifizierung
    • Dashboard
    • Cloud Single Sign-On
  • Employee Self Service und Workflow Management
  • Selbständiges Data Management durch die Mitarbeiter
  • Warum ist IAM in der Cloud eine zukunftsweisende Lösung?

HelloID Whitepaper

MFA im Alltag


Die Identifizierung dieser Authentifizierungsfaktoren ist ziemlich einfach, wenn wir den Kontext des EC-Kartenbeispiels überdenken. Um Geld abheben zu können, müssen Sie sich zunächst authentifizieren. Ihre Geldkarte dient als "etwas, das Sie haben" (Possession) und Ihre benutzerdefinierte PIN-Nummer ist "etwas, das Sie kennen" (Knowledge).

Rein hypothetisch könnten verschiedene Faktoren oder Bedingungen durchgesetzt werden. Ihre Bankkarte kann anstelle der PIN einen Fingerabdruck erfordern. MFA würde immer noch durch den Tausch von "etwas, das man kennt" gegen "etwas, das man ist" (Inhärenz) durchgesetzt. Wenn Ihre Bank die Anzahl der Geldautomaten-Standorte, zu denen Sie Zugang haben, einschränkt, tritt der Standortfaktor in Kraft. Limits für das Transaktionsvolumen über einen Tag hinweg, setzen einen Zeitfaktor durch.

Während MFA nicht bei jedem Zugriff durchgesetzt wird, helfen Kreditkarten, Anwendungsfälle zu liefern, warum MFA wichtig ist. Kreditunternehmen frieren Karten ein, die weit außerhalb des normalen Tätigkeitsbereichs verwendet wurden. Dies ist vergleichbar mit einem passiven Standortfaktor oder einer Bedingung, die entwickelt wurde, um Identitätsdiebstahl zu verhindern.

Wenn Bob aus New York plötzlich seine Karte in Los Angeles mehrmals benutzt hat, kann sie sich als verdächtig registrieren. Sie sind vielleicht im Urlaub, aber die abgelegene Aktivität erscheint verdächtig. Dadurch wird das Konto automatisch mit der Möglichkeit gesperrt, dass Ihre Identitäts- oder Kartennummer gestohlen wurde. Der Versuch, sich unter allzu bizarren Umständen zu authentifizieren, sollte sicherlich rote Fahnen aufstellen.

OTPs auf dem Vormarsch


Die Kombination von Benutzernamen und Kennwort-Anmeldeinformationen bleibt die häufigste Authentifizierungsmethode. Während Unternehmen die Bedeutung von mehr Sicherheit leicht erkennen, waren zusätzliche Authentifizierungsfaktoren früher eine teure und zeitaufwändige Investition. Dank der Schaffung von Einmalpasswörtern (OTPs) in den letzten Jahren ist diese Barriere für die Implementierung von MFA weitgehend verschwunden. Infolgedessen steigt die Akzeptanz. Anwendungsentwickler können ihrem Authentifizierungsprozess ganz einfach einen Possession-Faktor hinzufügen, indem sie eindeutige PIN-Codes an die Telefone oder E-Mails der Benutzer senden.

Die Akzeptanz von MFA nimmt ebenfalls zu, da Endanwender die Anwendung intuitiver und einfacher denn je finden. Kostenlose Software-Clients sind jetzt für den Einsatz auf Mobiltelefonen verfügbar, die OTPs für Cloud-Ressourcen generieren, die eine MFA unterstützen.

OTP-Clients setzen oft kurze Gültigkeitsfenster, bevor sie den Anmeldewert ändern. Der OTP-Reset des Google Authenticators erfolgt z.B. alle 30 Sekunden, wodurch das Risiko stark minimiert wird, sollte ein Wert gefährdet sein. Mehr Sicherheit ist nur dann wirklich erfolgreich, wenn der Prozess auch unkompliziert und reibungslos verläuft. Die heutige MFA ist simpel genug, um einen strengeren Zugang zu gewährleisten, ohne versehentlich Anreize für Workarounds zu schaffen.

Die Sicherheits-MFA, die Ihre Authentifizierungsprozesse erweitert, macht sie zu einem Kinderspiel. Mit MFA ist es für Benutzer schwieriger, ihre Zugriffsrechte zu missbrauchen, und für böswillige Eindringlinge ist es schwieriger, sich als solche auszugeben.

 

[i] https://digitalguardian.com/blog/uncovering-password-habits-are-users-password-security-habits-improving-infographic

[ii] https://www.infosecurity-magazine.com/news/google-survey-finds-two-users/

[iii] https://searchsecurity.techtarget.com/feature/5-common-authentication-factors-to-know

 

Bitte wählen Sie aus, dass Sie per Email von Tools4ever Informatik GmbH Informationen erhalten möchten und mit den unten stehenden Informationen einverstanden sind:

Weitere Informationen zu unseren Datenschutzpraktiken finden Sie auf unserer Website https://www.tools4ever.de/datenschutz/. Sie erklären sich damit einverstanden, dass wir Ihre Informationen in Übereinstimmung mit diesen Bedingungen verarbeiten dürfen.