Bei Multifaktor-Authentifizierung werden statt nur eines Faktors mehrere Identitätsaspekte einer Person überprüft, bevor sie auf eine Anwendung oder Datenbank zugreifen kann. Dies ist viel sicherer als die Authentifizierung anhand nur eines Faktors.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Multifaktor-Authentifizierung (MFA) ist eine Methode zur Überprüfung der Identität eines Benutzers. Diese Methode ist sicherer als die klassische Kombination aus Benutzername und Passwort. Auch bei MFA wird normalerweise ein Kennwort genutzt, darüber hinaus aber auch ein oder zwei weitere Authentifizierungsfaktoren. Zwei-Faktor-Authentifizierung (2FA) ist eine Form von MFA.
MFA ist ein wichtiger Bestandteil der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) und wird häufig im Rahmen von Single-Sign-On-Lösungen (SSO) implementiert.
Bevor ein Benutzer auf eine Softwareanwendung oder ein Netzwerk zugreifen darf, wird er durch Identitätsprüfungssysteme auf spezifische Merkmale untersucht, um sicherzugehen, dass er derjenige ist, für den er sich ausgibt. Diese Eigenschaften werden auch als „Authentifizierungsfaktoren“ bezeichnet.
Die drei am häufigsten benutzten Authentifizierungsfaktoren sind:
Mit MFA ist jeder Fall gemeint, bei dem zwei oder mehr Authentifizierungsfaktoren genutzt werden. Sind es nur zwei Authentifizierungsfaktoren, kann MFA auch als Zwei-Faktor-Authentifizierung oder zweistufige Überprüfung bezeichnet werden. Die Drei-Faktor-Authentifizierung ist eine weitere Form von MFA.
Bei Einzelfaktorauthentifizierung wird nur einer der oben genannten Faktoren zur Identifikation einer Person verwendet. Das häufigste Beispiel für Einzelfaktorauthentifizierung besteht darin, eine Kombination aus Benutzernamen und Passwort abzufragen.
Bei der Einzelfaktor-Authentifizierung liegt das Problem darin, dass ein Angreifer den Benutzer nur auf eine Weise erfolgreich angreifen muss, um sich für ihn ausgeben zu können. Wenn jemand das Passwort des Benutzers stiehlt, ist das Konto des Benutzers kompromittiert. Wenn der Benutzer dagegen MFA implementiert hat, reicht dem Angreifer das Passwort allein nicht, um Zugriff auf das Konto zu erhalten. Er müsste dann dem Benutzer zum Beispiel auch noch einen physischen Gegenstand stehlen, was sehr viel schwieriger ist.
Dieses Problem gibt es bei anderen Formen der Einzelfaktor-Authentifizierung ebenso. Stellen Sie sich vor, eine Bank würde zum Abheben von Geld nur verlangen, dass man eine Debitkarte vorlegt (das wäre der Faktor Besitz), und nicht eine Karte in Verbindung mit einer PIN. Dann müsste ein Dieb nur die Debitkarte entwenden, um Geld von einem Konto stehlen zu können.
Dabei muss man beachten, dass die Sicherheit bei MFA durch die verschiedenen Faktoren entsteht, nicht etwa dadurch, dass man denselben Faktor mehrfach verwendet.
Angenommen, eine Anwendung fordert einen Benutzer auf, nur ein Passwort einzugeben, eine andere Anwendung dagegen fordert einen Benutzer auf, sowohl ein Passwort als auch eine Antwort auf eine Sicherheitsfrage einzugeben. Welche Anwendung ist sicherer?
Technisch gesehen lautet die Antwort keine von beiden: Beide Anwendungen stützen sich nur auf einen Authentifizierungsfaktor, nämlich den Faktor Wissen. Eine Anwendung, für die man ein Passwort und entweder einen physischen Gegenstand oder einen Scan eines Fingerabdrucks braucht, ist sicherer als eine Anwendung, die nur ein Passwort und einige Sicherheitsfragen abfragt.
Diese Frage hängt vom Kontext ab. Im Allgemeinen ist jede Form der Multi-Faktor-Authentifizierung viel sicherer als die Ein-Faktor-Authentifizierung.
Es hat sich jedoch gezeigt, dass bestimmte Formen der MFA nicht gegen ausgefeilte Angriffsmethoden standhalten. Ein konkretes Beispiel: Angreifer schickten Mitarbeitern SMS-Phishing-Nachrichten, die auf gefälschte Anmeldeseiten für den Single-Sign-On-Service des Unternehmens verwiesen. Wenn ein Nutzer seinen Benutzernamen und sein Passwort auf dieser gefälschten Seite eingab, fanden die folgenden Schritte statt:
Eine andere Art der Besitzverifizierung – z. B. ein USB-Sicherheitstoken – wäre für diesen speziellen Angriff nicht anfällig. Bekommen alle Nutzer eindeutige Sicherheits-Token, die sie in ihre Computer einstecken und für die Authentifizierung physisch aktivieren müssen, reicht es nicht aus, wenn Angreifer nur den Benutzernamen und das Passwort kennen. Sie können nur dann auf Konten zugreifen, wenn sie auch den Computer der betreffenden Person gestohlen haben. Das Gleiche gilt für die Verifizierung der Identität anhand von inhärenten Eigenschaften, z. B. dem Fingerabdruck oder dem Gesichtsscan eines Nutzers.
Heißt das, dass Sicherheits-Tokens und Fingerabdruck-Scans sicherer sind als Einmal-Passwörter? In einem Phishing-Kontext, ja. Doch bevor Unternehmen eine MFA-Methode auswählen, sollten sie ihre spezifischen Sicherheitsrisiken und -bedürfnisse bewerten. Und auch hier gilt, dass jede Form der MFA sicherer ist als die Ein-Faktor-Authentifizierung. MFA erhöht also immer die Sicherheit eines Unternehmens.
Einige Vertreter der Sicherheitsbranche haben neben den drei oben aufgeführten Hauptfaktoren weitere Authentifizierungsfaktoren vorgeschlagen oder implementiert. Diese Authentifizierungsfaktoren werden zwar nur selten eingesetzt, umfassen aber Folgendes:
Standort: Wo sich ein Benutzer zum Zeitpunkt der Anmeldung befindet. Wenn ein Unternehmen beispielsweise in den USA ansässig ist und alle Mitarbeiter in den USA arbeiten, kann es den GPS-Standort der Mitarbeiter bewerten und eine Anmeldung aus einem anderen Land ablehnen.
Zeit: Hierbei geht es darum, wann sich ein Benutzer anmeldet, normalerweise im Zusammenhang mit seinen anderen Anmeldungen und seinem Standort. Wenn sich ein Benutzer dem Anschein nach aus einem Land anmeldet und einige Minuten später versucht, sich aus einem anderen Land anzumelden, sind diese Anfragen wahrscheinlich nicht echt. Ein System könnte auch Anmeldeversuche außerhalb der normalen Geschäftszeiten ablehnen. Allerdings wäre dies eher eine Sicherheitsrichtlinie als ein Faktor zur Identitätsauthentifizierung.
Wenn diese beiden Faktoren als zusätzliche Identitätsfaktoren betrachtet werden (was zur Debatte steht), dann sind die Vier-Faktor-Authentifizierung und die Fünf-Faktor-Authentifizierung technisch möglich. Beide fallen unter den Oberbegriff der Multi-Faktor-Authentifizierung.
Die Einführung solch strenger Sicherheitsmaßnahmen muss gegen die damit verbundenen Belastungen für den Nutzer abgewogen werden. Übermäßig strenge Sicherheitsmaßnahmen verleiten Nutzer oft dazu, offizielle Richtlinien zu umgehen.
Viele verbraucherorientierte Webdienste bieten heute MFA an. Bei den meisten Anwendungen mit MFA handelt es sich um eine Form von 2FA, bei der der Benutzer sein Smartphone für die Anmeldung braucht. Schauen Sie sich die Sicherheitseinstellungen in den jeweiligen Anwendungen an, um festzustellen, ob 2FA aktiviert werden kann. Darüber hinaus ermöglicht Cloudflare allen Cloudflare-Benutzern, für das eigene Konto 2FA zu implementieren.
Zur Einführung von MFA ist es empfehlenswert, eine SSO-Lösung einzusetzen. Durch SSO kann man MFA zentral für alle Apps implementieren, während nicht alle einzelnen Apps unbedingt MFA unterstützen.
Cloudflare Zero Trust lässt sich mit SSO-Anbietern integrieren, die Zwei-Faktor-Authentifizierung unterstützen. Cloudflare hilft Unternehmen, ihre Websites und Cloud-Anwendungen zu schützen, indem es kontrolliert, was Nutzer tun können, und Sicherheitsrichtlinien für Mitarbeiter durchsetzt, unabhängig davon, ob sie remote oder in kontrollierten Büroumgebungen arbeiten.