Multi-Faktor-Authentifizierung: Diese 5 Funktionen sollte sie erfüllen

Autor/Redakteur: Patrick McBride, Chief Marketing Officer bei Beyond Identity/gg

Die Multi-Faktor-Authentifizierung (MFA) gilt gemeinhin als sichere Authentifizierungsmaßnahme, doch auch sie ist für Cyberkriminelle nicht unüberwindbar, vor allem, wenn sie weiterhin auf Passwörtern basiert. Zwar gehen viele MFA-Lösungen über traditionelle Passwörter hinaus, doch auch MFA-Faktoren wie SMS, Links und Push-Benachrichtigungen sind grundsätzlich phishbar.

Bild: Beyond Identity

Auf der Grundlage dieser Risiken ist es an der Zeit, MFA sowohl für Benutzer als auch für sensible Daten und Systeme nachhaltig sicherer zu machen. Dafür sollte eine Multi-Faktor-Authentifizierung folgende fünf Funktionen erfüllen:

1. MFA sollte nur „unphishbare“ Authentifizierungsfaktoren nutzen

MFA-Lösungen, die mit Passwörtern, Einmal-Passwörtern (OTPs), Push-Benachrichtigungen und SMS-Nachrichten arbeiten, bieten zwar mehr Sicherheit als ein einzelnes Passwort, doch Hacker können diese Authentifizierungsmethoden mit kostenlosen Kits für Man-in-the-Middle-Angriffe leicht abfangen:

  • So sind Push-Benachrichtigungen ein Sicherheitsrisiko, wenn der Passcode in der Benachrichtigung enthalten ist. Werden solche Benachrichtigungen verwendet, sollte dies nur in Verbindung mit einem nicht fälschbarem Faktor geschehen, etwa einer Bestätigung mit biometrischen Daten und so weiter.
  • Auch SMS-Textnachrichten sind eine beliebte Methode zur Übermittlung von Passwörtern an Benutzer, aber Angreifer können diese Codes abfangen, etwa mit Methoden wie SIM-Swapping.
  • Magische Links sind hingegen weniger sicher, da der Link dem Nutzer per E-Mail zugeschickt wird. Jeder, der diesen magischen Link hat, kann sich anmelden – so auch unautorisierte Nutzer.
  • Einmalkennwörter (OTPs) bieten nicht nur ein schlechtes Benutzererlebnis, sondern sind auch mühsam in der Anwendung. Daher entscheiden sich viele Nutzer dafür, diese Codes per SMS oder E-Mail zu erhalten, anstatt einen Hardware-Token zu verwenden und gehen damit Risiken der Kompromittierung ein.

Zu den sicheren Authentifizierungsfaktoren, die nicht gefälscht, kopiert oder verändert werden können, zählen hingegen:

  • Kryptografische Schlüssel: Diese werden generiert und an das Gerät und den Benutzer gebunden. So kann die IT-Sicherheit jederzeit genau feststellen, wer und was auf Netzwerkressourcen zugreift.
  • Lokale Biometrie: Dieser Faktor ist bestens für eine eindeutige Identifizierung der Benutzeridentität geeignet und eine Umgehung so gut wie unmöglich. Moderne MFA-Lösungen nutzen geräteeigene Merkmale wie Gesichtserkennung oder Fingerabdrücke, um die Identität des Nutzers sicher zu stellen.
  • Sicherheitsprüfungen auf Geräteebene: Hier wird das Gerät auf potenzielle Schwachstellen und Probleme geprüft, und der Zugriff dementsprechend entweder gewährt, eingeschränkt oder gesperrt. Geprüft wird beispielsweise, ob alle Sicherheitsupdates installiert sind oder ob das Gerät in irgendeiner Weise verändert wurde.

2. MFA sollte passwortlos sein

Ein Passwort sagt letztlich nichts über den Benutzer aus, der auf ein Netzwerk zugreift, außer dass er über die richtigen Anmeldedaten verfügt. Wird das Passwort aber durch eine Art von Berechtigungsnachweis ersetzt, der an den Benutzer und das Gerät gebunden ist, lässt sich dieser Unsicherheitsfaktor beseitigen und die Sicherheit drastisch erhöhen.

Der Nutzen für Unternehmen ist immens, denn jetzt wissen sie, wer mit welchem Gerät auf ihr Netzwerk zugreift. In Zeiten der vermehrten Remote-Arbeit ist dies umso wichtiger. Passwortbasierte MFA versucht hingegen in der Regel nur zu beantworten, wer auf ein Netzwerk zugreift, und geht davon aus, dass diese Identität bestätigt ist. Dieser Ansatz wird der heutigen Bedrohungslandschaft allerdings nicht mehr gerecht.