Multi-Faktor-Authentifizierung / Zwei-Faktor-Authentifizierung

16. März 2021 | geschrieben von: Dirk Olejnik

Jede Hürde zählt, dass Identitätsdiebstahl nicht zum bösen Traum wird!

Das verbotene Geschäft mit Identitätsdaten blüht!

Ob Zoom, Facebook oder Microsoft: Seit mehreren Jahren reißen die Nachrichten über siegreiche Hacks, ungepatchte Sicherheitslücken sowie dramatische Daten- und Passwort-Lecks nicht ab. Ganz im Gegenteil, die Datenskandale häufen sich zunehmend und verursachen jährlich einen enormen wirtschaftlichen Schaden.

Erst vor kurzem veröffentlichten Internetkriminelle im Darknet eine Datensammlung mit um die 3,2 Milliarden Zugangsdaten, die gemäß den IT-Sicherheitsexperten des Online-Magazins Cybernews, im Zuge früherer Angriffe und Datenlecks bei namenhafte Organisationen wie Netflix und LinkedIn erbeutet wurden.

Das solche Datensammlungen im Darknet angeboten werden ist nichts Neues.

Jedoch in diesem Tatbestand gibt es eine besorgniserregende Eigenschaft: Die Zugangsdaten liegen unverschlüsselt und grundsätzlich für jeden frei erhältlich vor, sodass sie von Internetkriminellen bequem für identitätsbasierte Angriffe und umfangreiche Phishing-Attacken genutzt werden können.

Im Zuge dieser Bedrohungslage ist es allerhöchste Zeit, dass Firmen belastbare Authentifizierungsprozesse umsetzen.

Die Zusammenstellung macht den Schutz aus!

In einer Zeit zunehmender Digitalisierung, Vernetzung und hybriden Infrastrukturen nehmen identitätsbasierte Internetattacken zu.

Um sich vor solchen Sicherheitsbedrohungen zu schützen, ist der Einsatz einer Multi-Faktor-Authentifizierung essenziell. Sie bieten Betrieben einen zweifelsfreien Identitätsschutz und sorgen für eine sichere Zugriffskontrolle.

Im Gegensatz zu einer Ein-Faktor-Authentifizierung, die auf einer Abfrage von Benutzernamen und Kennwort beruht, nutzt die Multi-Faktor-Authentifizierung die Verknüpfung mehrerer verschiedener und vor allem unabhängiger Identitätsnachweise, um die Identität eines Anwenders vor dem Zugriff auf eine gewünschte Applikation, einen Account oder eine VPN zu prüfen.

Prinzipiell lassen sich die Identitätsnachweise in drei verschiedene Bereiche unterteilen:

Wissen: Dinge, die nur der Anwender „weiß“ oder „kennt“.
Hierzu zählen Nutzernamen und Passwörter, PIN-Codes, ebenso auch Antworten auf geheime Sicherheitsfragen.

Besitz: Dinge, die nur der Benutzer besitzt.
Zu diesem Punkt zählen digitale Zertifikate, digitale Anwendungen Token wie beispielsweise Microsoft Authenticator, Google Authenticator oder physische Token wie Smartcards.

Inhärenz: Dinge, die einen Nutzer unzweifelhaft auszeichnen und nicht änderbar sind.
Dazu gehören vor allem biometrische Merkmale wie Fingerabdrücke, Stimmmuster oder Iris-Scans.

Da die Multi-Faktor-Authentifizierung heutzutage auch maschinelles Lernen (ML) und künstliche Intelligenz (KI) integriert, sind zudem standortbasierte, adaptive oder risikobasierte Identitätsnachweise machbar.

Geographische Identitätsnachweise:

  • Bei einer Authentifizierung mit standortbasierten Identitätsnachweisen wird die IP-Adresse, oder aber der geografische Standort des Users geprüft. Für den Fall, dass sich der Benutzer nicht an einem per Whitelist anerkannten Aufenthaltsort aufhält, wird der Zugang verweigert.

Adaptive/ risikobasierte Identitätsnachweise:

  • Bei einer Identitätsprüfung mit adaptiven/ risikobasierten Identitätsnachweisen werden zusätzlich die beiden Identitätsnachweise „Kontext“ und „Benutzerverhalten“ überprüft, um das mit dem Zugriffsversuch verbundene Risiko einzustufen.

Dazu zählen:

  • Von wo aus versucht der Benutzer, auf die Anwendung oder Informationen zuzugreifen?
  • Wann findet der Zugriffsversuch statt? In der Arbeitszeit oder nach Arbeitsende?
  • Was für ein Endgerät wird für den Zugriffsversuch eingesetzt? Dasselbe Gerät wie am Vortag?
  • Wird die Verbindung über ein privates oder ein öffentliches Netzwerk hergestellt?

Die Risikostufe wird anhand der Antworten auf diese Punkte errechnet. Ist das Risiko groß, wird der Nutzer zur Übertragung weiterer Identitätsnachweise angewiesen.

Des einen Zuviel ist des anderen Zuwenig!

Bei der Zwei-Faktor-Authentifizierung geht es um einen Spezialfall der Multi-Faktor-Authentifizierung. Im Gegensatz zur Multi-Faktor-Identitätsüberprüfung, die für die Authentifizierung die Verbindung von mehr als zwei Identitätsnachweisen verlangt, sind bei der Zwei-Faktor-Authentifizierung bloß zwei Faktoren notwendig. Folglich ist jede Zwei-Faktor-Authentifizierung eine Multi-Faktor-Authentifizierung, aber nicht jede Multi-Faktor-Authentifizierung eine Zwei-Faktor-Authentifizierung.

Ein häufiger Fauxpas, der bei der Zwei-Faktor-Authentifizierung auftritt, ist das zwei Identitätsnachweise desselben Faktors abgefragt werden: Zum Beispiel wird vor dem Login via Benutzerkennung und Passwort, ein zusätzliches Login-Formular mit einem Gruppenpasswort oder individuellen Sicherheitsfragen geschaltet.

Das Problem in diesem Fall ist, dass Angreifer mittels eines Phishing-Angriffs ebenso an die Login-Daten als auch das Gruppenpasswort und die individuellen Sicherheitsfragen gelangen können. Daher ist dieses Authentifizierungsverfahren, genaugenommen, keine Zwei-Faktor-Authentifizierung, da keine unabhängigen Identitätsnachweise zum Einsatz kommen.

Authentifikatoren: Der Schlüssel im Schlüssel!

Passwörter sind die primäre Verteidigungslinie im Kampf gegen Datendiebstahl.

Allerdings existiert in vielen Betrieben ein laxer Umgang mit Passwörtern, was dazu führt, dass laut dem „Data Breach Investigations Report 2020“ von Verizon 80 Prozent aller Sicherheitsverletzungen durch schwache, mehrfach verwendete oder gestohlene Passwörter verursacht werden.

Da Passwörter unterschiedliche Sicherheitsrisiken in sich bergen, kommt es für einen hochwirksames Authentifizierungsverfahren auf – mindestens – einen zusätzlichen Faktor an, der beim Authentifizierungsprozess verifiziert werden muss.

Hier kommen Multi-Faktor-Authentifikatoren oder Single Factor-Authentifikatoren ins Spiel:

  • Multi-Faktor-Authentifikator:
    • sind Authentifikatoren in Form von Software, Token oder Smartphones, welche einen zweiten unabhängigen Identitätsnachweis in Form eines Passworts (Faktor: Wissen) oder eines Fingerabdrucks (Faktor: Inhärenz) erfordern, ehe sie zur Authentifizierung verwendet werden können.

Möchte ein Nutzer, zum Beispiel sein Smartphone als Authentifikator für den Zugang auf eine Website verwenden, MUSS das Smartphone erst einmal mit einer PIN (Wissen) oder einem Fingerabdruck (Inhärenz) aktiviert werden. Anschließend kann der Schlüssel auf dem Smartphone für den Zugang auf die Website benutzt werden.

  • Single Factor (SF)-Authentifikatoren:
    • sind Authentifikatoren, die keinen zweiten unabhängigen Identitätsnachweis erfordern, um genutzt zu werden.

Will ein Anwender ein One-Time Password von einer OTP-Anwendung auf sein Smartphone erhalten, benötigt das keine weitere Aktivierung (ein einziger Authentifikator), keine Fingerabdruckerfassung (ein einziger Authentifikator) oder kein auswendig gelerntes Geheimnis.

Viel bringt viel!

Zusammenfassend lässt sich sagen, dass für die Umsetzung einer zeitgemäßen IT-Sicherheit der Einsatz einer Multi-Faktor-Authentifizierung ein erster wichtiger Schritt ist.

Durch den Einsatz einer hochentwickelten Multi-Faktor-Authentifizierung können Unternehmen einen zweifelsfreien Identitätsschutz und eine sichere Zugriffskontrolle Ihrer Mitarbeiter gewährleisten.

Zudem bieten Multi-Faktor-Authentifizierungslösungen, die auf einem kontextbezogenen und risikobasierten Ansatz basieren, mehr Sicherheit, Nutzerfreundlichkeit und Kosteneffektivität.

Bei weiteren Fragen oder Interesse einer passenden Multi-Faktor-Authentifizierungslösung wenden Sie sich gerne jederzeit an uns.

Für weitere Informationen klicken Sie hier.

scroll down