Was ist Multifaktor-Authentifizierung (MFA)?

Bei Multifaktor-Authentifizierung werden statt nur eines Faktors mehrere Identitätsaspekte einer Person überprüft, bevor sie auf eine Anwendung oder Datenbank zugreifen kann. Dies ist viel sicherer als die Authentifizierung anhand nur eines Faktors.

Share facebook icon linkedin icon twitter icon email icon

Mehrstufige Authentifizierung

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Multifaktor-Authentifizierung (MFA) definieren
  • Erfahren, warum MFA sicherer ist als nur ein Passwort allein
  • Die verschiedenen Faktoren bei der Identitätsauthentifizierung entdecken

Was ist MFA (Multifaktor-Authentifizierung)?

Multifaktor-Authentifizierung (MFA) ist eine Methode zur Überprüfung der Identität eines Benutzers. Diese Methode ist sicherer als die klassische Kombination aus Benutzername und Passwort. Auch bei MFA wird normalerweise ein Kennwort genutzt, darüber hinaus aber auch ein oder zwei weitere Authentifizierungsfaktoren. Zwei-Faktor-Authentifizierung (2FA) ist eine Form von MFA.

MFA ist ein wichtiger Bestandteil der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) und wird häufig im Rahmen von Single-Sign-On-Lösungen (SSO) implementiert.

Was sind Authentifizierungsfaktoren?

Bevor ein Benutzer auf eine Softwareanwendung oder ein Netzwerk zugreifen darf, wird er durch Identitätsprüfungssysteme auf spezifische Merkmale untersucht, um sicherzugehen, dass er derjenige ist, für den er sich ausgibt. Diese Eigenschaften werden auch als „Authentifizierungsfaktoren“ bezeichnet.

Die drei am häufigsten benutzten Authentifizierungsfaktoren sind:

  1. Wissen: etwas, das der Benutzer weiß
  2. Besitz: etwas, das der Benutzer hat
  3. Inhärente Eigenschaften: etwas, das der Benutzer ist

Mit MFA ist jeder Fall gemeint, bei dem zwei oder mehr Authentifizierungsfaktoren genutzt werden. Sind es nur zwei Authentifizierungsfaktoren, kann MFA auch als Zwei-Faktor-Authentifizierung (2FA) oder zweistufige Überprüfung bezeichnet werden. Die Drei-Faktor-Authentifizierung ist eine weitere Form von MFA.

Welche Beispiele für die drei Authentifizierungsfaktoren gibt es in der Praxis?

  • Wissen (etwas, das der Benutzer weiß): Dieser Faktor ist etwas, das nur ein einziger Benutzer kennen sollte, etwa eine Kombination aus Benutzername und Passwort. Andere Arten von Wissensfaktoren sind zum Beispiel Sicherheitsfragen, Ausweisnummern oder Sozialversicherungsnummern. Sogar ein „geheimer Händedruck“ kann so ein geheimes Benutzerwissen sein.
  • Besitz (etwas, das der Benutzer hat): Mit diesem Faktor ist der Besitz eines physischen Zeichens, Geräts oder Schlüssels gemeint. Das einfachste Beispiel für diesen Authentifizierungsfaktor ist das Aufschließen der eigenen Haustür mit einem physischen Hausschlüssel. Im Computerkontext kann das physische Objekt ein Schlüsselanhänger, ein USB-Gerät oder sogar ein Smartphone sein.
    Viele moderne MFA-Systeme senden einen temporären Code an das Telefon eines Benutzers und fordern ihn auf, den Code einzugeben, um auf sein Konto zugreifen zu können. Damit kann der Benutzer zeigen, dass er ein Telefon besitzt, das außer ihm niemand hat, und dieser Faktor kann zur Feststellung seiner Identität beitragen (es sei denn, ein Angreifer hat die SIM-Karte des Benutzers unter seine Kontrolle gebracht).
  • Inhärente Eigenschaften (etwas, das der Benutzer ist): Damit ist eine physische Eigenschaft des eigenen Körpers gemeint. Die einfachste Version dieses Authentifizierungsfaktors ist die Fähigkeit, jemanden am Aussehen oder am Klang seiner Stimme zu erkennen. Menschen nutzen diese Fähigkeit ständig in ihrem täglichen Umgang miteinander. Der Vergleich des Aussehens mit einem Foto auf einem Ausweis ist ein weiteres Beispiel für die Prüfung solcher inhärenten Eigenschaften.
    Im Computerkontext ist Face ID ein Beispiel für diesen Authentifizierungsfaktor. Dieses Feature wird von vielen modernen Smartphones angeboten. Andere Methoden sind unter anderem Fingerabdruckscans, Retina-Scans und Blutuntersuchungen.

Warum ist MFA sicherer als die Authentifizierung anhand nur eines Faktors?

Bei Einzelfaktorauthentifizierung wird nur einer der oben genannten Faktoren zur Identifikation einer Person verwendet. Das häufigste Beispiel für Einzelfaktorauthentifizierung besteht darin, nur einen Benutzernamen und ein Passwort abzufragen.

Bei der Einzelfaktor-Authentifizierung liegt das Problem darin, dass ein Angreifer den Benutzer nur auf eine Weise erfolgreich angreifen muss, um sich für ihn ausgeben zu können. Wenn jemand das Passwort des Benutzers stiehlt, ist das Konto des Benutzers kompromittiert. Wenn der Benutzer dagegen MFA implementiert hat, reicht dem Angreifer das Passwort allein nicht, um Zugriff auf das Konto zu erhalten. Er müsste dann dem Benutzer zum Beispiel auch noch einen physischen Gegenstand stehlen, was sehr viel schwieriger ist.

Dieses Problem gibt es bei anderen Formen der Einzelfaktor-Authentifizierung ebenso. Stellen Sie sich vor, eine Bank würde zum Abheben von Geld nur verlangen, dass man eine Debitkarte vorlegt (das wäre der Faktor Besitz), und nicht eine Karte in Verbindung mit einer PIN. Dann müsste ein Dieb nur die Debitkarte entwenden, um Geld von einem Konto stehlen zu können.

Dabei muss man beachten, dass die Sicherheit bei MFA durch die verschiedenen Faktoren entsteht, nicht etwa dadurch, dass man denselben Faktor mehrfach verwendet.

Angenommen, eine Anwendung fordert einen Benutzer auf, nur ein Passwort einzugeben, eine andere Anwendung dagegen fordert einen Benutzer auf, sowohl ein Passwort als auch eine Antwort auf eine Sicherheitsfrage einzugeben. Welche Anwendung ist sicherer?

Technisch gesehen lautet die Antwort keine von beiden: Beide Anwendungen stützen sich nur auf einen Authentifizierungsfaktor, nämlich den Faktor Wissen. Eine Anwendung, für die man ein Passwort und entweder einen physischen Gegenstand oder einen Scan eines Fingerabdrucks braucht, ist sicherer als eine Anwendung, die nur ein Passwort und einige Sicherheitsfragen abfragt.

Gibt es noch andere Authentifizierungsfaktoren?

Einige Vertreter der Sicherheitsbranche haben neben den drei oben aufgeführten Hauptfaktoren weitere Authentifizierungsfaktoren vorgeschlagen oder implementiert. Diese selten implementierten Authentifizierungsfaktoren sind:

Standort: Wo sich ein Benutzer zum Zeitpunkt der Anmeldung befindet. Wenn ein Unternehmen beispielsweise in den USA ansässig ist und alle Mitarbeiter in den USA arbeiten, kann es den GPS-Standort der Mitarbeiter bewerten und eine Anmeldung aus einem anderen Land ablehnen.

Zeit: Hierbei geht es darum, wann sich ein Benutzer anmeldet, normalerweise im Zusammenhang mit seinen anderen Anmeldungen und seinem Standort. Wenn sich ein Benutzer dem Anschein nach aus einem Land anmeldet und einige Minuten später versucht, sich aus einem anderen Land anzumelden, sind diese Anfragen wahrscheinlich nicht echt. Ein System könnte auch Anmeldeversuche außerhalb der normalen Geschäftszeiten ablehnen. Allerdings wäre dies eher eine Sicherheitsrichtlinie als ein Faktor zur Identitätsauthentifizierung.

Wenn man diese beiden Punkte als zusätzliche Identitätsfaktoren betrachtet – und darüber kann man streiten – sind auch Vier-Faktor-Authentifizierung und Fünf-Faktor-Authentifizierung technisch möglich. Beides würde unter den Begriff Multi-Faktor-Authentifizierung fallen. (Man muss bei der Umsetzung derart strenger Sicherheitsmaßnahmen abwägen, ob sie die Unannehmlichkeiten wert sind, die sie für den Benutzer bedeuten. Zu strenge Sicherheitsmaßnahmen können dazu führen, dass Benutzer versuchen, die offiziellen Richtlinien zu umgehen.)

Wie können Anwender MFA für die eigenen Konten implementieren?

Viele verbraucherorientierte Webdienste bieten heute MFA an. Bei den meisten Anwendungen mit MFA handelt es sich um eine Form von 2FA, bei der der Benutzer sein Smartphone für die Anmeldung braucht. Schauen Sie sich die Sicherheitseinstellungen in den jeweiligen Anwendungen an, um festzustellen, ob 2FA aktiviert werden kann. Darüber hinaus ermöglicht Cloudflare allen Cloudflare-Benutzern, für das eigene Konto 2FA zu implementieren.

Wie können Unternehmen MFA implementieren?

Zur Einführung von MFA ist es empfehlenswert, eine SSO-Lösung einzusetzen. Durch SSO kann man MFA zentral für alle Apps implementieren, während nicht alle einzelnen Apps unbedingt MFA unterstützen.

Cloudflare Access verfügt über Integrationen mit SSO-Anbietern, die 2FA unterstützen. Cloudflare Access ist ein Produkt zur Zugriffskontrolle, das die Websites und Cloud-Anwendungen von Unternehmen schützt, indem es steuert, was Benutzer tun können.