Sysbus
ArtikelAuthentifizierung

Mit Multifaktor-Authentifizierung wirklich auf der sicheren Seite?

dcg

Das oben bereits erwähnte Social Engineering wird nicht nur genutzt, um Passwörter direkt abzugreifen, etwa durch Phishing oder die SMS-Variante “Smishing”, sondern es kommt auch im Multi-Faktor-Authentifizierungsprozess selbst zum Einsatz. Hier machen sich die Angreifer unter anderem ein Phänomen zunutze, das als “Klick-Fatigue” bekannt ist. Menschen wollen sich nicht lange mit etwas so vermeintlich trivialen wie der Authentifizierung beschäftigen, sondern ihren eigentlichen Aufgaben nachgehen. Die Folge: Man wird nachlässig. Im Prompt-Bombing setzt man genau darauf: Das vermeintliche Opfer erhält auf seinem zur Authentifizierung notwendigen Gerät innerhalb kürzester Zeit multiple Push-Nachrichten des Login-Dienstes. Die Angreifer:innen setzen darauf, dass Nutzer:innen sie “entnervt” akzeptieren, um nicht mehr belästigt zu werden.

 Authentifizierungs-Lebenszyklus im Blick behalten

Zudem lassen sich manche MFA-Lösungen auch abseits des reinen Authentifizierungsprozesses angreifen. Es ist also wichtig, den gesamten Authentifizierungs-Lebenszyklus im Blick zu behalten. Werden etwa neue Mitarbeitende eingebunden, so fällt es in der Regel dem Administrator zu, ein neues Konto aufzusetzen und ein entsprechendes Gerät in das System hinzuzufügen. Der Admin als Gatekeeper wird somit zum Sicherheitsrisiko. Werden hier keine Sicherheitsmechanismen etabliert – etwa indem das Hinzufügen eines zusätzlichen Geräts den Nachweis eines vorhandenen Geräts erfordert, oder indem man mit Identity Proofing oder Transitive Trust arbeitet – entsteht ein Single-Point-of-Failure in der Sicherheitsinfrastruktur. Gleiches gilt, wenn der Administrator alleinige Kontrolle über die Endgeräte hat.

Hier sollte stets auf die Dezentralität geachtet werden: Administratoren können die Geräte zwar sperren, sollten aber nicht in der Lage sein, diese zentral löschen zu können. Dieser Vorgang sollte lediglich dem Inhaber des Endgeräts vorbehalten sein.

Insgesamt sollte man bei der Wahl seiner MFA-Lösung darauf achten, dass diese auf die Authentifizierungsschnittstelle des Endgeräts baut. Nur so lässt sich gewährleisten, dass die MFA-Lösung nicht nur weniger anfällig für Phishing ist, sondern wirklich Phishing-sicher. Moderne Endgeräte verfügen über ausgereifte biometrische Login-Funktionen und ermöglichen “Same Device MFA” (die MFA-Lösung wird dabei auf einem einzelnen Gerät installiert und lässt sich dort verwenden). Dadurch reduziert sich der IT-Aufwand im Fall des Verlusts oder beim Offboarding und gleichzeitig entsteht mehr Sicherheit durch Dezentralität. Zudem sollte auch die Speicherung der Zugangsdaten beziehungsweise des privaten kryptographischen Schlüssels auf dem jeweiligen Sicherheitschip des Geräts erfolgen. Das verringert den Schaden eines Datenlecks enorm im Vergleich zur zentralen Speicherung der Schlüssel.

Fazit

Multi-Faktor-Authentifizierung mitigiert das Risiko, Opfer eines passwortbasierten Angriffs oder einer Brute-Force-Attacke zu werden, und jede MFA-Lösung ist besser als gar keine Lösung. Doch Unternehmen sollten nicht dem Irrglauben erliegen, sie seien durch MFA automatisch geschützt. Hacker-Methoden und Sicherheitslösungen entwickeln sich weiter und gerade Unternehmen, die entweder bestehende Lösung erneuern oder eine neue MFA-Lösung implementieren wollen, sollten sich mit den einzelnen Spezifika genauestens beschäftigen. Dabei gilt der vermeintlich antizipierte Aufwand übrigens nicht mehr als Totschlagargument für die Einführung einer neuen Lösung. Heute gibt es bereits Lösungen, die sich innerhalb von 15 Minuten einführen lassen.

Ähnliche Beiträge:

  1. Multi-Faktor-Authentifizierung: Diese 5 Funktionen sollte sie erfüllen
  2. Wie Hacker Authentifizierungskonzepte umschiffen – und wie man sie aufhalten kann
  3. Drei alternative Authentifizierungsmethoden für Online-Kunden
  4. Ping Identity bietet mehr Sicherheit für globale Unternehmen mit neuen intelligenten Funktionen bei der Multi-Faktor-Authentifizierung

Das könnte dir auch gefallen

Gleichberechtigt meeten – wie Chancengleichheit bei hybriden Meetings Zufriedenheit und Produktivität steigert

gg

Was sollten Unternehmen tun, um sich vor Fileless-Malware zu schützen beziehungsweise darauf zu reagieren?

gcg

Ransomware lässt Vertrauen keinen Raum

dcg