Multi-Faktor-Authentifizierung

Jede Hürde zählt, damit Identitätsdiebstahl nicht zum Alptraum wird!

Das illegale Geschäft mit Identitätsdaten boomt!
Ob Zoom, Facebook oder Microsoft: Seit vielen Jahren reißen die Meldungen über siegreiche Hacks, ungepatchte Sicherheitslücken sowie gravierende Daten- und Passwort-Lecks nicht ab. Ganz im Gegenteil, die Datenskandale häufen sich vermehrt und bewirken jährlich einen enormen wirtschaftlichen Schaden.
Erst veröffentlichten Internetkriminelle im Darknet eine Datensammlung mit rund 3,2 Milliarden Zugangsdaten, die gemäß den IT-Sicherheitsexperten des [Online-Magazins Cybernews], (https://cybernews.com/news/largest-compilation-of-emails-and-passwords-leaked-free/), im Rahmen älterer Angriffe und Datenlecks bei namenhafte Firmen wie Netflix und LinkedIn erbeutet wurden.

Das solche Datensammlungen im Darknet offeriert werden ist nichts Neues.
Jedoch in diesem Fall gibt es eine besorgniserregende Besonderheit: Die Zugangsdaten liegen unverschlüsselt und im Prinzip für jeden frei erhältlich vor, sodass sie von Internetkriminellen simpel für identitätsbasierte Angriffe und umfangreiche Phishing-Attacken angewendet werden können.
Auf Grund dieser Bedrohungslage ist es allerhöchste Zeit, dass Betriebe stabile Authentifizierungsprozesse implementieren. Die Verknüpfung macht den Schutz aus! In einer Zeit steigender Digitalisierung, Vernetzung und hybriden Infrastrukturen nehmen identitätsbasierte Internetattacken zu.
Um sich vor solchen Sicherheitsbedrohungen zu schützen, ist der Einsatz einer Multi-Faktor-Authentifikation essenziell. Sie bieten Betrieben einen zweifelsfreien Identitätsschutz und garantieren eine geschützte Zugriffskontrolle.
Im Unterschied zu einer Ein-Faktor-Authentifizierung, die auf einer Abfrage von Benutzernamen und Passwort beruht, nutzt die Multi-Faktor-Authentifizierung die Verknüpfung mehrerer unterschiedlicher und vor allem selbständiger Identitätsnachweise, um die Identität eines Anwenders vor dem Zugriff auf eine gewünschte Applikation, ein Benutzerkonto oder eine VPN zu prüfen.

Im Prinzip lassen sich die Identitätsnachweise in drei verschiedene Bereiche unterteilen:

  • Know-how: Dinge, die nur der Benutzer „weiß“ oder „kennt“. Hierzu zählen Nutzernamen und Passwörter, PIN-Codes, aber auch Antworten auf geheime Sicherheitsfragen.
  • Besitz: Dinge, die nur der User besitzt. Hierzu zählen digitale Zertifikate, digitale Software Token wie etwa Microsoft Authenticator, Google Authenticator oder physische Token wie Smartcards.
  • Inhärenz: Dinge, die einen Benutzer unmissverständlich auszeichnen und nicht änderbar sind. Dazu gehören vor allem biometrische Merkmale wie Fingerabdrücke, Stimmmuster oder Iris-Scans.

Da die Multi-Faktor-Authentifizierung heutzutage auch maschinelles Lernen (ML) und künstliche Intelligenz (KI) integriert, sind außerdem geographische, adaptive oder risikobasierte Identitätsnachweise realisierbar.

  • Standortbasierte Identitätsnachweise: Bei einer Authentifizierung mit standortbasierten Identitätsnachweisen wird die IP-Adresse, oder aber der geografische Ort des Nutzers geprüft. Wenn sich der Anwender nicht an einem per Whitelist autorisierten Standort aufhält, wird der Zugriff verweigert.
  • Adaptive/ risikobasierte Identitätsnachweise: Bei einer Identitätsprüfung mit adaptiven/ risikobasierten Identitätsnachweisen werden darüber hinaus die beiden Identitätsnachweise „Kontext“ und „Benutzerverhalten“ analysiert, um das mit dem Zugriffsversuch verbundene Risiko einzustufen.

Dazu zählen:

  • Von wo aus versucht der Nutzer, auf die Applikation oder Informationen zuzugreifen?
  • Wann findet der Zugriffsversuch statt? In der Arbeitszeit oder nach Arbeitsende?
  • Was für ein Endgerät wird für den Zugriffsversuch benutzt? Genau dasselbe Gerät wie am Vortag?
  • Wird die Verbindung über ein privates oder ein öffentliches Netzwerk hergestellt?

Die Risikostufe wird anhand der Antworten auf diese Punkte berechnet. Ist die Gefahr groß, wird der User zur Übertragung zusätzlicher Identitätsnachweise aufgefordert.

Des einen Zuviel ist des anderen Zuwenig!
Bei der Zwei-Faktor-Authentifizierung geht es um einen Sonderfall der Multi-Faktor-Authentifizierung. Im Gegensatz zur Multi-Faktor-Identitätsüberprüfung, die für die Authentifizierung die Kombination von mehr als zwei Identitätsnachweisen verlangt, sind bei der Zwei-Faktor-Authentifizierung lediglich zwei Faktoren erforderlich. Folglich ist jede Zwei-Faktor-Authentifizierung eine Multi-Faktor-Authentifizierung, aber nicht jede Multi-Faktor-Authentifizierung eine Zwei-Faktor-Authentifizierung.
Ein vielfacher Fehler, der bei der Zwei-Faktor-Authentifizierung auftritt, ist das zwei Identitätsnachweise desselben Faktors abgefragt werden: Zum Beispiel wird vor dem Login via Benutzerkennung und Kennwort, ein zusätzliches Login-Formular mit einem Gruppenpasswort oder individuellen Sicherheitsfragen geschaltet.
Das Problem dabei ist, dass Eindringlinge mithilfe eines Phishing-Angriffs sowohl an die Login-Daten als auch das Gruppenpasswort und die persönlichen Sicherheitsfragen gelangen können. Aus diesem Grund ist dieses Authentifizierungsverfahren, genaugenommen, keine Zwei-Faktor-Identitätsüberprüfung, da keine unabhängigen Identitätsnachweise zum Einsatz kommen.

Authentifikatoren: Der Schlüssel im Schlüssel!

Passwörter sind die erste Verteidigungslinie im Kampf gegen Datendiebstahl.

Allerdings herrscht in vielen Betrieben ein laxer Umgang mit Passwörtern, was dazu führt, dass [laut dem „Data Breach Investigations Report 2020“ von Verizon] (https://enterprise.verizon.com/de-de/resources/reports/dbir/) 80 Prozent aller Sicherheitsverletzungen durch schwache, mehrfach genutzte oder gestohlene Passwörter verursacht werden.

Da Passwörter unterschiedliche Sicherheitsrisiken in sich tragen, kommt es für einen hochwirksames Authentifizierungsverfahren auf – mindestens – einen weiteren Faktor an, der beim Authentifizierungsprozess verifiziert werden muss.

Hier kommen Multi-Faktor-Authentifikatoren oder Single Factor-Authentifikatoren ins Spiel:

  • Multi-Faktor-Authentifikator: sind Authentifikatoren in Form von Software, Token oder Smartphones, die einen zweiten unabhängigen Identitätsnachweis in Form eines Passworts (Faktor: Wissen) oder eines Fingerabdrucks (Faktor: Inhärenz) benötigen, bevor sie zur Identitätsprüfung verwendet werden können.
    Möchte ein User, zum Beispiel sein Smartphone als Authentifikator für den Zugang auf eine Website verwenden, MUSS das Smartphone zuerst mit einer PIN (Wissen) oder einem Fingerabdruck (Inhärenz) aktiviert werden. Anschließend kann der Schlüssel auf dem Smartphone für den Zugriff auf die Website genutzt werden.
  • Single Factor (SF)-Authentifikatoren: sind Authentifikatoren, die keinen zweiten unabhängigen Identitätsnachweis erfordern, um benutzt zu werden.
    Möchte ein Nutzer ein One-Time Password von einer OTP-Anwendung auf sein Smartphone erhalten, erfordert das keine weitere Aktivierung (ein einziger Authentifikator), keine Fingerabdruckerfassung (ein einziger Authentifikator) oder kein auswendig gelerntes Geheimnis.

Viel bringt viel!

In der Summe lässt sich sagen, dass für die Realisierung einer zeitgemäßen IT-Sicherheit der Gebrauch einer Multi-Faktor-Authentifizierung ein erster wichtiger Schritt ist.
Durch die Verwendung einer hochentwickelten Multi-Faktor-Authentifizierung können Betriebe einen zweifelsfreien Identitätsschutz und eine sichere Zugriffskontrolle Ihrer Mitarbeiter gewährleisten.
Zudem bieten Multi-Faktor-Authentifizierungslösungen, die auf einem kontextbezogenen und risikobasierten Konzept basieren, mehr Sicherheit, Benutzerfreundlichkeit und Kosteneffektivität.

Bei weiteren Fragen oder Interesse einer passenden Multi-Faktor-Authentifizierungslösung wenden Sie sich gerne jederzeit an uns.