Multi-Faktor-Authentifizierung: Jede Barriere ist wichtig, damit Identitätsdiebstahl nicht zum Alptraum wird!
Das illegale Geschäft mit Identitätsdaten blüht!
Ob Zoom, Facebook oder Microsoft: Seit mehreren Jahren reißen die Nachrichten über siegreiche Hacks, ungepatchte Sicherheitslücken sowie gravierende Daten- und Passwort-Lecks nicht ab. Ganz im Gegenteil, die Datenskandale häufen sich vermehrt und verursachen jährlich einen immensen wirtschaftlichen Schaden.
Erst kürzlich veröffentlichten Internetkriminelle im Darknet eine Datensammlung mit ungefähr 3,2 Milliarden Zugangsdaten, die gemäß den IT-Sicherheitsexperten des Online-Magazins Cybernews, im Rahmen älterer Angriffe und Datenlecks bei namenhafte Firmen wie Netflix und LinkedIn erbeutet wurden.
Das derartige Datensammlungen im Darknet angeboten werden ist nichts Neues.
Allerdings in diesem Tatbestand gibt es eine dramatische Besonderheit: Die Zugangsdaten liegen unverschlüsselt und prinzipiell für jeden frei erhältlich vor, sodass sie von Internetkriminellen leicht für identitätsbasierte Angriffe und umfangreiche Phishing-Attacken genutzt werden können.
In Anbetracht dieser Bedrohungslage ist es allerhöchste Zeit, dass Unternehmen belastbare Authentifizierungsprozesse realisieren.
Die Kombination macht den Schutz aus!
In einer Zeit fortschreitender Digitalisierung, Vernetzung und hybriden Infrastrukturen nehmen identitätsbasierte Internetattacken zu.
Um sich vor solchen Sicherheitsbedrohungen zu schützen, ist der Einsatz einer Multi-Faktor-Identitätsprüfung essenziell. Sie bieten Betrieben einen zweifelsfreien Identitätsschutz und sorgen eine geschützte Zugriffskontrolle.
Im Gegensatz zu einer Ein-Faktor-Authentifizierung, die auf einer Abfrage von Benutzernamen und Kennwort beruht, nutzt die Multi-Faktor-Authentifizierung die Verknüpfung mehrerer diverser und insbesondere unabhängiger Identitätsnachweise, um die Identität eines Anwenders vor dem Zugriff auf eine gewünschte Anwendung, ein Benutzerkonto oder eine VPN zu kontrollieren.
Prinzipiell lassen sich die Identitätsnachweise in drei verschiedene Kategorien unterteilen:
• Know-how: Dinge, die nur der User „weiß“ oder „kennt“.
Hierzu gehören Nutzernamen und Passwörter, PIN-Codes, aber auch Antworten auf geheime Sicherheitsfragen.
• Besitz: Dinge, die nur der Anwender besitzt.
Hierzu zählen digitale Zertifikate, digitale Anwendungen Token wie etwa Microsoft Authenticator, Google Authenticator oder physische Token wie Smartcards.
• Inhärenz: Dinge, die einen Benutzer unzweifelhaft auszeichnen und nicht änderbar sind.
Dazu gehören vor allem biometrische Merkmale wie Fingerabdrücke, Stimmmuster oder Iris-Scans.
Da die Multi-Faktor-Authentifizierung heutzutage auch maschinelles Lernen (ML) und künstliche Intelligenz (KI) implementiert, sind außerdem geographische, adaptive oder risikobasierte Identitätsnachweise möglich.
• Standortbasierte Identitätsnachweise:
o Bei einer Authentifizierung mit geographischen Identitätsnachweisen wird die IP-Adresse, oder aber der geografische Standort des Users geprüft. Fur den Fall, dass sich der Nutzer nicht an einem per Whitelist anerkannten Standort aufhält, wird der Zugriff verweigert.
• Adaptive/ risikobasierte Identitätsnachweise:
o Bei einer Authentifizierung mit adaptiven/ risikobasierten Identitätsnachweisen werden darüber hinaus die beiden Identitätsnachweise „Kontext“ und „Benutzerverhalten“ analysiert, um das mit dem Zugriffsversuch einhergehende Risiko einzuordnen.
Dazu zählen:
• Von wo aus versucht der Benutzer, auf die Applikation oder Informationen zuzugreifen?
• Zu welchem Zeitpunkt findet der Zugriffsversuch statt? In der Arbeitszeit oder nach Feierabend?
• Was für ein Endgerät wird für den Zugriffsversuch eingesetzt? Genau dasselbe Gerät wie am Vortag?
• Wird die Verbindung über ein privates oder ein öffentliches Netzwerk hergestellt?
Die Risikostufe wird anhand der Antworten auf diese Fragen berechnet. Ist das Risiko groß, wird der Nutzer zur Übertragung weiterer Identitätsnachweise aufgefordert.
Des einen Zuviel ist des anderen Zuwenig!
Bei der Zwei-Faktor-Authentifizierung geht es um einen Sonderfall der Multi-Faktor-Authentifizierung. Im Gegensatz zur Multi-Faktor-Identitätsüberprüfung, die für die Authentifizierung die Kombination von mehr als zwei Identitätsnachweisen fordert, sind bei der Zwei-Faktor-Authentifizierung lediglich zwei Faktoren notwendig. Somit ist jede Zwei-Faktor-Authentifizierung eine Multi-Faktor-Authentifizierung, aber nicht jede Multi-Faktor-Authentifizierung eine Zwei-Faktor-Authentifizierung.
Ein häufiger Fehler, der bei der Zwei-Faktor-Authentifizierung auftritt, ist das zwei Identitätsnachweise desselben Faktors abgefragt werden: Zum Beispiel wird vor dem Anmeldevorgang via Benutzerkennung und Kennwort, ein weiteres Login-Formular mit einem Gruppenpasswort oder individuellen Sicherheitsfragen geschaltet.
Das Problem hierbei ist, dass Attackierender mithilfe eines Phishing-Angriffs ebenso an die Login-Informationen als auch das Gruppenpasswort und die persönlichen Sicherheitsfragen gelangen können. Aus diesem Grund ist dieses Authentifizierungsverfahren, genaugenommen, keine Zwei-Faktor-Identitätsprüfung, da keine unabhängigen Identitätsnachweise zum Einsatz kommen.
Authentifikatoren: Der Schlüssel im Schlüssel!
Passwörter sind die vorrangige Verteidigungslinie im Kampf gegen Datendiebstahl.
Allerdings existiert in vielen Betrieben ein laxer Umgang mit Passwörtern, was dazu führt, dass laut dem „Data Breach Investigations Report 2020“ von Verizon 80 Prozent aller Sicherheitsverletzungen durch schwache, mehrmals benutzte oder gestohlene Passwörter verursacht werden.
Da Passwörter verschiedene Sicherheitsrisiken in sich bergen, kommt es für einen hochwirksames Authentifizierungsverfahren auf – minimum – einen zusätzlichen Faktor an, der beim Authentifizierungsprozess verifiziert werden muss.
Hier kommen Multi-Faktor-Authentifikatoren oder Single Factor-Authentifikatoren ins Spiel:
• Multi-Faktor-Authentifikator:
o sind Authentifikatoren in Form von Software, Token oder Smartphones, welche einen zweiten unabhängigen Identitätsnachweis in Form eines Passworts (Faktor: Wissen) oder eines Fingerabdrucks (Faktor: Inhärenz) erfordern, bevor sie zur Identitätsprüfung genutzt werden können.
Möchte ein Benutzer, beispielsweise sein Smartphone als Authentifikator für den Zugriff auf eine Website verwenden, MUSS das Smartphone zu Beginn mit einer PIN (Wissen) oder einem Fingerabdruck (Inhärenz) aktiviert werden. Darauffolgend kann der Schlüssel auf dem Smartphone für den Zugriff auf die Website benutzt werden.
• Single Factor (SF)-Authentifikatoren,
o sind Authentifikatoren, die keinen zweiten unabhängigen Identitätsnachweis erfordern, um verwendet zu werden.
Möchte ein User ein One-Time Password von einer OTP-Anwendung auf sein Smartphone erhalten, erfordert das keine weitere Aktivierung (ein einziger Authentifikator), keine Fingerabdruckerfassung (ein einziger Authentifikator) oder kein auswendig gelerntes Geheimnis.
Viel bringt viel!
In der Summe lässt sich sagen, dass für die Umsetzung einer modernen IT-Sicherheit der Gebrauch einer Multi-Faktor-Authentifizierung ein erster relevanter Schritt ist.
Durch die Verwendung einer hochentwickelten Multi-Faktor-Authentifizierung können Unternehmen einen zweifelsfreien Identitätsschutz und eine sichere Zugriffskontrolle Ihrer Mitarbeiter gewährleisten.
Zudem bieten Multi-Faktor-Authentifizierungslösungen, die auf einem kontextbezogenen und risikobasierten Verfahren aufbauen, mehr Schutz, Nutzerfreundlichkeit und Kosteneffektivität.
Bei weiteren Fragestellungen oder Interesse einer passenden Multi-Faktor-Authentifizierungslösung wenden Sie sich gerne jederzeit an uns.