Was ist Multifaktor-Authentifizierung (MFA)?

Bei Multifaktor-Authentifizierung werden statt nur eines Faktors mehrere Identitätsaspekte einer Person überprüft, bevor sie auf eine Anwendung oder Datenbank zugreifen kann. Dies ist viel sicherer als die Authentifizierung anhand nur eines Faktors.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Multifaktor-Authentifizierung (MFA) definieren
  • Erfahren, warum MFA sicherer ist als nur ein Passwort allein
  • Die verschiedenen Faktoren bei der Identitätsauthentifizierung entdecken

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist MFA (Multifaktor-Authentifizierung)?

Multifaktor-Authentifizierung (MFA) ist eine Methode zur Überprüfung der Identität eines Benutzers. Diese Methode ist sicherer als die klassische Kombination aus Benutzername und Passwort. Auch bei MFA wird normalerweise ein Kennwort genutzt, darüber hinaus aber auch ein oder zwei weitere Authentifizierungsfaktoren. Zwei-Faktor-Authentifizierung (2FA) ist eine Form von MFA.

MFA ist ein wichtiger Bestandteil der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) und wird häufig im Rahmen von Single-Sign-On-Lösungen (SSO) implementiert.

Was sind Authentifizierungsfaktoren?

Bevor ein Benutzer auf eine Softwareanwendung oder ein Netzwerk zugreifen darf, wird er durch Identitätsprüfungssysteme auf spezifische Merkmale untersucht, um sicherzugehen, dass er derjenige ist, für den er sich ausgibt. Diese Eigenschaften werden auch als „Authentifizierungsfaktoren“ bezeichnet.

Die drei am häufigsten benutzten Authentifizierungsfaktoren sind:

  1. Wissen: etwas, das der Benutzer weiß
  2. Besitz: etwas, das der Benutzer hat
  3. Inhärente Eigenschaften: etwas, das der Benutzer ist

Mit MFA ist jeder Fall gemeint, bei dem zwei oder mehr Authentifizierungsfaktoren genutzt werden. Sind es nur zwei Authentifizierungsfaktoren, kann MFA auch als Zwei-Faktor-Authentifizierung oder zweistufige Überprüfung bezeichnet werden. Die Drei-Faktor-Authentifizierung ist eine weitere Form von MFA.

Welche Beispiele für die drei Authentifizierungsfaktoren gibt es in der Praxis?

  • Wissen (etwas, das der Benutzer weiß): Dieser Faktor ist etwas, das nur ein einziger Benutzer kennen sollte, etwa eine Kombination aus Benutzername und Passwort. Andere Arten von Wissensfaktoren sind zum Beispiel Sicherheitsfragen, Ausweisnummern oder Sozialversicherungsnummern. Sogar ein „geheimer Händedruck“ kann so ein geheimes Benutzerwissen sein.
  • Besitz (etwas, das der Benutzer hat): Mit diesem Faktor ist der Besitz eines physischen Token, Geräts oder Schlüssels gemeint. Ein einfaches Beispiel für diese Art von Authentifizierungsfaktor ist die Verwendung eines Haustürschlüssels, um ein Haus betreten zu können. In einem Computing-Kontext kann es sich bei dem physischen Objekt um einen Schlüsselanhänger, ein USB-Gerät oder sogar ein Smartphone handeln. Viele moderne MFA-Systeme senden einen temporären Code an das Telefon eines Benutzers und fordern ihn auf, den Code einzugeben, um auf sein Konto zugreifen zu können. Damit kann der Benutzer zeigen, dass er ein Telefon besitzt, das außer ihm niemand hat, und dieser Faktor kann zur Feststellung seiner Identität beitragen (es sei denn, ein Angreifer hat die SIM-Karte des Benutzers unter seine Kontrolle gebracht).
  • Inhärente Eigenschaften (etwas, das der Benutzer ist): Damit ist eine physische Eigenschaft des eigenen Körpers gemeint. Die einfachste Version dieses Authentifizierungsfaktors ist die Fähigkeit, jemanden am Aussehen oder am Klang seiner Stimme zu erkennen. Menschen nutzen diese Fähigkeit ständig in ihrem täglichen Umgang miteinander. Der Vergleich des Aussehens mit einem Foto auf einem Ausweis ist ein weiteres Beispiel für die Prüfung solcher inhärenten Eigenschaften. Im Computerkontext ist Face ID ein Beispiel für diesen Authentifizierungsfaktor. Dieses Feature wird von vielen modernen Smartphones angeboten. Andere Methoden sind unter anderem Fingerabdruckscans, Retina-Scans und Blutuntersuchungen.

Warum ist MFA sicherer als die Authentifizierung anhand nur eines Faktors?

Bei Einzelfaktorauthentifizierung wird nur einer der oben genannten Faktoren zur Identifikation einer Person verwendet. Das häufigste Beispiel für Einzelfaktorauthentifizierung besteht darin, eine Kombination aus Benutzernamen und Passwort abzufragen.

Bei der Einzelfaktor-Authentifizierung liegt das Problem darin, dass ein Angreifer den Benutzer nur auf eine Weise erfolgreich angreifen muss, um sich für ihn ausgeben zu können. Wenn jemand das Passwort des Benutzers stiehlt, ist das Konto des Benutzers kompromittiert. Wenn der Benutzer dagegen MFA implementiert hat, reicht dem Angreifer das Passwort allein nicht, um Zugriff auf das Konto zu erhalten. Er müsste dann dem Benutzer zum Beispiel auch noch einen physischen Gegenstand stehlen, was sehr viel schwieriger ist.

Dieses Problem gibt es bei anderen Formen der Einzelfaktor-Authentifizierung ebenso. Stellen Sie sich vor, eine Bank würde zum Abheben von Geld nur verlangen, dass man eine Debitkarte vorlegt (das wäre der Faktor Besitz), und nicht eine Karte in Verbindung mit einer PIN. Dann müsste ein Dieb nur die Debitkarte entwenden, um Geld von einem Konto stehlen zu können.

Dabei muss man beachten, dass die Sicherheit bei MFA durch die verschiedenen Faktoren entsteht, nicht etwa dadurch, dass man denselben Faktor mehrfach verwendet.

Angenommen, eine Anwendung fordert einen Benutzer auf, nur ein Passwort einzugeben, eine andere Anwendung dagegen fordert einen Benutzer auf, sowohl ein Passwort als auch eine Antwort auf eine Sicherheitsfrage einzugeben. Welche Anwendung ist sicherer?

Technisch gesehen lautet die Antwort keine von beiden: Beide Anwendungen stützen sich nur auf einen Authentifizierungsfaktor, nämlich den Faktor Wissen. Eine Anwendung, für die man ein Passwort und entweder einen physischen Gegenstand oder einen Scan eines Fingerabdrucks braucht, ist sicherer als eine Anwendung, die nur ein Passwort und einige Sicherheitsfragen abfragt.

Welche Formen der MFA sind am wirksamsten?

Diese Frage hängt vom Kontext ab. Im Allgemeinen ist jede Form der Multi-Faktor-Authentifizierung viel sicherer als die Ein-Faktor-Authentifizierung.

Es hat sich jedoch gezeigt, dass bestimmte Formen der MFA nicht gegen ausgefeilte Angriffsmethoden standhalten. Ein konkretes Beispiel: Angreifer schickten Mitarbeitern SMS-Phishing-Nachrichten, die auf gefälschte Anmeldeseiten für den Single-Sign-On-Service des Unternehmens verwiesen. Wenn ein Nutzer seinen Benutzernamen und sein Passwort auf dieser gefälschten Seite eingab, fanden die folgenden Schritte statt:

  1. Die Angreifer verwendeten den gestohlenen Benutzernamen und das Passwort auf der echten Anmeldeseite des Unternehmens.
  2. Die echte Anmeldeseite hat versucht, einen weiteren Authentifizierungsfaktor – den Besitz – zu verifizieren, indem sie einen temporären Code an das Telefon des echten Nutzers gesendet hat.
  3. Die Angreifer leiteten den Nutzer auf eine andere gefälschte Seite um, auf der er aufgefordert wurde, den temporären Code einzugeben.
  4. Wenn der Nutzer den Code eingab, verwendeten die Angreifer diesen Code auf der echten Anmeldeseite und verschafften sich Zugang zum Konto.

Eine andere Art der Besitzverifizierung – z. B. ein USB-Sicherheitstoken – wäre für diesen speziellen Angriff nicht anfällig. Bekommen alle Nutzer eindeutige Sicherheits-Token, die sie in ihre Computer einstecken und für die Authentifizierung physisch aktivieren müssen, reicht es nicht aus, wenn Angreifer nur den Benutzernamen und das Passwort kennen. Sie können nur dann auf Konten zugreifen, wenn sie auch den Computer der betreffenden Person gestohlen haben. Das Gleiche gilt für die Verifizierung der Identität anhand von inhärenten Eigenschaften, z. B. dem Fingerabdruck oder dem Gesichtsscan eines Nutzers.

Heißt das, dass Sicherheits-Tokens und Fingerabdruck-Scans sicherer sind als Einmal-Passwörter? In einem Phishing-Kontext, ja. Doch bevor Unternehmen eine MFA-Methode auswählen, sollten sie ihre spezifischen Sicherheitsrisiken und -bedürfnisse bewerten. Und auch hier gilt, dass jede Form der MFA sicherer ist als die Ein-Faktor-Authentifizierung. MFA erhöht also immer die Sicherheit eines Unternehmens.

Gibt es noch andere Authentifizierungsfaktoren?

Einige Vertreter der Sicherheitsbranche haben neben den drei oben aufgeführten Hauptfaktoren weitere Authentifizierungsfaktoren vorgeschlagen oder implementiert. Diese Authentifizierungsfaktoren werden zwar nur selten eingesetzt, umfassen aber Folgendes:

Standort: Wo sich ein Benutzer zum Zeitpunkt der Anmeldung befindet. Wenn ein Unternehmen beispielsweise in den USA ansässig ist und alle Mitarbeiter in den USA arbeiten, kann es den GPS-Standort der Mitarbeiter bewerten und eine Anmeldung aus einem anderen Land ablehnen.

Zeit: Hierbei geht es darum, wann sich ein Benutzer anmeldet, normalerweise im Zusammenhang mit seinen anderen Anmeldungen und seinem Standort. Wenn sich ein Benutzer dem Anschein nach aus einem Land anmeldet und einige Minuten später versucht, sich aus einem anderen Land anzumelden, sind diese Anfragen wahrscheinlich nicht echt. Ein System könnte auch Anmeldeversuche außerhalb der normalen Geschäftszeiten ablehnen. Allerdings wäre dies eher eine Sicherheitsrichtlinie als ein Faktor zur Identitätsauthentifizierung.

Wenn diese beiden Faktoren als zusätzliche Identitätsfaktoren betrachtet werden (was zur Debatte steht), dann sind die Vier-Faktor-Authentifizierung und die Fünf-Faktor-Authentifizierung technisch möglich. Beide fallen unter den Oberbegriff der Multi-Faktor-Authentifizierung.

Die Einführung solch strenger Sicherheitsmaßnahmen muss gegen die damit verbundenen Belastungen für den Nutzer abgewogen werden. Übermäßig strenge Sicherheitsmaßnahmen verleiten Nutzer oft dazu, offizielle Richtlinien zu umgehen.

Wie können Anwender MFA für die eigenen Konten implementieren?

Viele verbraucherorientierte Webdienste bieten heute MFA an. Bei den meisten Anwendungen mit MFA handelt es sich um eine Form von 2FA, bei der der Benutzer sein Smartphone für die Anmeldung braucht. Schauen Sie sich die Sicherheitseinstellungen in den jeweiligen Anwendungen an, um festzustellen, ob 2FA aktiviert werden kann. Darüber hinaus ermöglicht Cloudflare allen Cloudflare-Benutzern, für das eigene Konto 2FA zu implementieren.

Wie können Unternehmen MFA implementieren?

Zur Einführung von MFA ist es empfehlenswert, eine SSO-Lösung einzusetzen. Durch SSO kann man MFA zentral für alle Apps implementieren, während nicht alle einzelnen Apps unbedingt MFA unterstützen.

Cloudflare Zero Trust lässt sich mit SSO-Anbietern integrieren, die Zwei-Faktor-Authentifizierung unterstützen. Cloudflare hilft Unternehmen, ihre Websites und Cloud-Anwendungen zu schützen, indem es kontrolliert, was Nutzer tun können, und Sicherheitsrichtlinien für Mitarbeiter durchsetzt, unabhängig davon, ob sie remote oder in kontrollierten Büroumgebungen arbeiten.