Multi-Faktor-Authentifizierung

Multi-Faktor-Authentifizierung / Zwei-Faktor-Authentifizierung

16. März 2021 | geschrieben von: Dirk Olejnik

Jede Hürde zählt, dass Identitätsdiebstahl nicht zum bösen Traum wird!

Das verbotene Geschäft mit Identitätsdaten blüht!

Ob Zoom, Facebook oder Microsoft: Seit mehreren Jahren reißen die Nachrichten über siegreiche Hacks, ungepatchte Sicherheitslücken sowie dramatische Daten- und Passwort-Lecks nicht ab. Ganz im Gegenteil, die Datenskandale häufen sich zunehmend und verursachen jährlich einen enormen wirtschaftlichen Schaden.

Erst vor kurzem veröffentlichten Internetkriminelle im Darknet eine Datensammlung mit um die 3,2 Milliarden Zugangsdaten, die gemäß den IT-Sicherheitsexperten des Online-Magazins Cybernews, im Zuge früherer Angriffe und Datenlecks bei namenhafte Organisationen wie Netflix und LinkedIn erbeutet wurden.

Das solche Datensammlungen im Darknet angeboten werden ist nichts Neues.

Jedoch in diesem Tatbestand gibt es eine besorgniserregende Eigenschaft: Die Zugangsdaten liegen unverschlüsselt und grundsätzlich für jeden frei erhältlich vor, sodass sie von Internetkriminellen bequem für identitätsbasierte Angriffe und umfangreiche Phishing-Attacken genutzt werden können.

Im Zuge dieser Bedrohungslage ist es allerhöchste Zeit, dass Firmen belastbare Authentifizierungsprozesse umsetzen.

Die Zusammenstellung macht den Schutz aus!

In einer Zeit zunehmender Digitalisierung, Vernetzung und hybriden Infrastrukturen nehmen identitätsbasierte Internetattacken zu.

Um sich vor solchen Sicherheitsbedrohungen zu schützen, ist der Einsatz einer Multi-Faktor-Authentifizierung essenziell. Sie bieten Betrieben einen zweifelsfreien Identitätsschutz und sorgen für eine sichere Zugriffskontrolle.

Im Gegensatz zu einer Ein-Faktor-Authentifizierung, die auf einer Abfrage von Benutzernamen und Kennwort beruht, nutzt die Multi-Faktor-Authentifizierung die Verknüpfung mehrerer verschiedener und vor allem unabhängiger Identitätsnachweise, um die Identität eines Anwenders vor dem Zugriff auf eine gewünschte Applikation, einen Account oder eine VPN zu prüfen.

Prinzipiell lassen sich die Identitätsnachweise in drei verschiedene Bereiche unterteilen:

Wissen: Dinge, die nur der Anwender „weiß“ oder „kennt“.
Hierzu zählen Nutzernamen und Passwörter, PIN-Codes, ebenso auch Antworten auf geheime Sicherheitsfragen.

Besitz: Dinge, die nur der Benutzer besitzt.
Zu diesem Punkt zählen digitale Zertifikate, digitale Anwendungen Token wie beispielsweise Microsoft Authenticator, Google Authenticator oder physische Token wie Smartcards.

Inhärenz: Dinge, die einen Nutzer unzweifelhaft auszeichnen und nicht änderbar sind.
Dazu gehören vor allem biometrische Merkmale wie Fingerabdrücke, Stimmmuster oder Iris-Scans.

Da die Multi-Faktor-Authentifizierung heutzutage auch maschinelles Lernen (ML) und künstliche Intelligenz (KI) integriert, sind zudem standortbasierte, adaptive oder risikobasierte Identitätsnachweise machbar.

Geographische Identitätsnachweise:

  • Bei einer Authentifizierung mit standortbasierten Identitätsnachweisen wird die IP-Adresse, oder aber der geografische Standort des Users geprüft. Für den Fall, dass sich der Benutzer nicht an einem per Whitelist anerkannten Aufenthaltsort aufhält, wird der Zugang verweigert.

Adaptive/ risikobasierte Identitätsnachweise:

  • Bei einer Identitätsprüfung mit adaptiven/ risikobasierten Identitätsnachweisen werden zusätzlich die beiden Identitätsnachweise „Kontext“ und „Benutzerverhalten“ überprüft, um das mit dem Zugriffsversuch verbundene Risiko einzustufen.

Dazu zählen:

  • Von wo aus versucht der Benutzer, auf die Anwendung oder Informationen zuzugreifen?
  • Wann findet der Zugriffsversuch statt? In der Arbeitszeit oder nach Arbeitsende?
  • Was für ein Endgerät wird für den Zugriffsversuch eingesetzt? Dasselbe Gerät wie am Vortag?
  • Wird die Verbindung über ein privates oder ein öffentliches Netzwerk hergestellt?

Die Risikostufe wird anhand der Antworten auf diese Punkte errechnet. Ist das Risiko groß, wird der Nutzer zur Übertragung weiterer Identitätsnachweise angewiesen.

Des einen Zuviel ist des anderen Zuwenig!

Bei der Zwei-Faktor-Authentifizierung geht es um einen Spezialfall der Multi-Faktor-Authentifizierung. Im Gegensatz zur Multi-Faktor-Identitätsüberprüfung, die für die Authentifizierung die Verbindung von mehr als zwei Identitätsnachweisen verlangt, sind bei der Zwei-Faktor-Authentifizierung bloß zwei Faktoren notwendig. Folglich ist jede Zwei-Faktor-Authentifizierung eine Multi-Faktor-Authentifizierung, aber nicht jede Multi-Faktor-Authentifizierung eine Zwei-Faktor-Authentifizierung.

Ein häufiger Fauxpas, der bei der Zwei-Faktor-Authentifizierung auftritt, ist das zwei Identitätsnachweise desselben Faktors abgefragt werden: Zum Beispiel wird vor dem Login via Benutzerkennung und Passwort, ein zusätzliches Login-Formular mit einem Gruppenpasswort oder individuellen Sicherheitsfragen geschaltet.

Das Problem in diesem Fall ist, dass Angreifer mittels eines Phishing-Angriffs ebenso an die Login-Daten als auch das Gruppenpasswort und die individuellen Sicherheitsfragen gelangen können. Daher ist dieses Authentifizierungsverfahren, genaugenommen, keine Zwei-Faktor-Authentifizierung, da keine unabhängigen Identitätsnachweise zum Einsatz kommen.

Authentifikatoren: Der Schlüssel im Schlüssel!

Passwörter sind die primäre Verteidigungslinie im Kampf gegen Datendiebstahl.

Allerdings existiert in vielen Betrieben ein laxer Umgang mit Passwörtern, was dazu führt, dass laut dem „Data Breach Investigations Report 2020“ von Verizon 80 Prozent aller Sicherheitsverletzungen durch schwache, mehrfach verwendete oder gestohlene Passwörter verursacht werden.

Da Passwörter unterschiedliche Sicherheitsrisiken in sich bergen, kommt es für einen hochwirksames Authentifizierungsverfahren auf – mindestens – einen zusätzlichen Faktor an, der beim Authentifizierungsprozess verifiziert werden muss.

Hier kommen Multi-Faktor-Authentifikatoren oder Single Factor-Authentifikatoren ins Spiel:

  • Multi-Faktor-Authentifikator:
    • sind Authentifikatoren in Form von Software, Token oder Smartphones, welche einen zweiten unabhängigen Identitätsnachweis in Form eines Passworts (Faktor: Wissen) oder eines Fingerabdrucks (Faktor: Inhärenz) erfordern, ehe sie zur Authentifizierung verwendet werden können.

Möchte ein Nutzer, zum Beispiel sein Smartphone als Authentifikator für den Zugang auf eine Website verwenden, MUSS das Smartphone erst einmal mit einer PIN (Wissen) oder einem Fingerabdruck (Inhärenz) aktiviert werden. Anschließend kann der Schlüssel auf dem Smartphone für den Zugang auf die Website benutzt werden.

  • Single Factor (SF)-Authentifikatoren:
    • sind Authentifikatoren, die keinen zweiten unabhängigen Identitätsnachweis erfordern, um genutzt zu werden.

Will ein Anwender ein One-Time Password von einer OTP-Anwendung auf sein Smartphone erhalten, benötigt das keine weitere Aktivierung (ein einziger Authentifikator), keine Fingerabdruckerfassung (ein einziger Authentifikator) oder kein auswendig gelerntes Geheimnis.

Viel bringt viel!

Zusammenfassend lässt sich sagen, dass für die Umsetzung einer zeitgemäßen IT-Sicherheit der Einsatz einer Multi-Faktor-Authentifizierung ein erster wichtiger Schritt ist.

Durch den Einsatz einer hochentwickelten Multi-Faktor-Authentifizierung können Unternehmen einen zweifelsfreien Identitätsschutz und eine sichere Zugriffskontrolle Ihrer Mitarbeiter gewährleisten.

Zudem bieten Multi-Faktor-Authentifizierungslösungen, die auf einem kontextbezogenen und risikobasierten Ansatz basieren, mehr Sicherheit, Nutzerfreundlichkeit und Kosteneffektivität.

Bei weiteren Fragen oder Interesse einer passenden Multi-Faktor-Authentifizierungslösung wenden Sie sich gerne jederzeit an uns.

KONTAKTIEREN SIE UNS

Die Digitale Zukunft
Ist jetzt.
Kontakt aufnehmen
  • IT-Security Incident: Prävention, Erkennung und Aufklärung!
    IT-Sicherheitsvorfälle sind in der heutigen Zeit omnipräsent. Deshalb sollten sich sämtliche Unternehmen auf einen möglichen IT-Sicherheitsvorfall rüsten, um im Notfall richtig agieren zu können. Doch wann spricht man eigentlich von einem IT-Sicherheitsvorfall und welche wichtigen Schritte sowie Mittel sind vor, während sowie nach einem IT-Sicherheitsvorfall elementar?
  • Green IT: Bessere Umweltbilanz durch klimaneutrale IT-Lösungen!
    Mit der Erfolgsserie der Digitalisierung nimmt auch der umweltspezifische Fußabdruck zu, welchen Informations- sowie Kommunikationsinfrastrukturen auf der Welt zurücklassen. Angesichts dessen ist das Anliegen „Green IT“ zeitgemäß wie nie. Doch was verbirgt sich hinter dem Begriff „Green IT“? Welche Vorzüge und Chancen bringt das Konzept? Und an welchen Schrauben sollten Unternehmen drehen, um für mehr […]
  • Was steckt in der Virenschutz-Lösung Defender für Endpunkt?
    Da wir uns im ersten Artikel mit dem Microsoft Defender als Virenschutz für Privatpersonen befasst haben, soll es nun im zweiten Teil um den Microsoft Defender für Endpunkt gehen. Die Endpoint-Security-Lösung von Microsoft bringt einen sicheren Schutz für betriebliche IT-Netzwerke aller Art.
  • Reicht es aus, den Microsoft Defender als Antivirus-Lösung einzusetzen?
    Mit ihrem Defender bietet Microsoft einen kostenfreien Virenschutz für Windows an. Er ist fester Baustein von Windows und liefert somit einen integrierten Virenschutz ohne Zusatzkosten. Doch taugt diese kostenlose Option auch etwas? Kann der Defender mit Bitdefender, Kaspersky, McAfee, Norton und anderen führenden Namen auf dem Antiviren-Markt Schritt halten? Wir haben den Microsoft Defender mal unter die Lupe genommen…
  • ADFS – Was ist das und wie funktioniert es?
    Die wachsende Menge verschiedener Cloud-Anwendungen sowie Web-Apps und der damit einhergehende Passwort-Wildwuchs erzeugen den verstärkten Trend zur Single-Sign-On-Authentifizierung. Microsoft bietet durch Active Directory Federation Services eine Single-Sign-on-Lösung an, die es Unternehmen ermöglicht, für alle Zugriffspunkte und Einsatzbereiche im Unternehmen eine einmalige sowie zentrale Anmeldung zu haben – sowohl von intern wie ebenso von extern. Wie dies funktioniert und welche Vor- und Nachteile ihr Einsatz mit sich bringt, lernen Sie in dem nachfolgenden Blogbeitrag.
  • Composable Infrastructure: Eine neue Klasse moderner IT-Architektur!
    Heutige IT-Infrastrukturlösungen müssen in höchstem Maße agil sowie flexibel sein, um schnell auf innovative Geschäftschancen eingehen zu können. Die „Composable Infrastructure“ soll exakt das ermöglichen. Was sich hinter diesem neuen IT-Architekturansatz verbirgt und warum es sich lohnt über ihren Einsatz nachzudenken, offenbaren wir Ihnen in dem folgenden Blogbeitrag.
scroll down