MFA - was es bringt und was beachtet werden sollte
Unternehmensinterne Informationen sind heute oft über Portale zugänglich, welche direkt aus dem Internet aufgerufen werden können. Vielfach ist aus dem Internet selbst für normale Benutzer der Zugriff auf interne Ressourcen (Server, Netzwerke, NAS usw.) einer Unternehmung möglich. Der Zugriff auf die Informationen wird über Benutzerkonten gesteuert, welche wiederum mittels Benutzername und Passwort abgesichert sind. Die einfache Verfügbarkeit lädt Unbefugte ein, zu versuchen an diese Informationen zu kommen. Damit Sie Ihre Passwörter besser schützen können, ist die Multi-Faktor-Authentifizierung (MFA) eine Lösungsmöglichkeit.
Dieser Artikel wurde von Michael Schäublin für secnovum verfasst.
Schwachstellen von Passwörtern
Aufgrund verschiedener Schwachstellen zeigt sich, dass Passwörter alleine für die Absicherung von Informationen nicht genügen:
- Passwörter können den Benutzern mittels Phishing abgeluchst werden
- Die Passwortqualität ist ungenügend
- Passwörter werden für verschiedene Dienste wiederverwendet
- Passwörter können erraten bzw. durchprobiert werden
- Der Schutz durch ein Passwort kann durch technische Schwachstellen umgangen werden
Schutz durch Multi-Faktor-Authentifizierung erhöhen
Eine Möglichkeit, um das Schutzniveau zu erhöhen, ist der Einsatz von Multi-Faktor-Authentifizierung (MFA), manchmal auch Zwei-Faktor-Authentifizierung (2FA) oder 2-Step-Verification (2SV) genannt. Darunter sind Techniken zu verstehen, welche neben dem traditionellen Passwort noch ein weiteres Authentifizierungsmerkmal abfragen. Bei den meisten üblichen Methoden wird dafür ein zusätzlicher Kommunikationskanal aufgebaut oder es ist ein weiteres Device (z.B. Handy) notwendig. Die breite Öffentlichkeit sollte mit MFA vertraut sein, wer z.B. eBanking nutzt, wird nun schon seit einiger Zeit zur Nutzung von einem zweiten Authentifizierungs-Kanal gezwungen.
Die Auswahl an Authentifizierungs-Techniken ist sehr gross. Jede Technik hat ihre Vor- und Nachteile. Richtig umgesetzt steigern aber alle Methoden die Sicherheit von Benutzeraccounts; mit der richtigen Methode sogar erheblich.
Google hat im Mai 2019 Ergebnisse aus einer Studie veröffentlicht, in welcher Forscher über einen Zeitraum von einem Jahr die Wirksamkeit von Multi-Faktor-Authentifizierungs-Methoden untersucht haben.
So haben alle Methoden automatisierte Angriffe durch Bots zu einem grossen Teil blockiert. Phishing Angriffe auf eine grosse Menge von Accounts wurden mit den meisten Methoden ebenfalls mit überzeugenden Resultaten verhindert. Und mit den richtigen Methoden wurden auch gezielte Angriffe auf einzelne Benutzer unterbunden.
Die Nutzung eines weiteren Authentifizierungs-Faktors hat aber auch negative Aspekte. Der wichtigste davon ist für jede Benutzerin und jeden Benutzer spürbar: Der Authentifizierungs-Prozess dauert länger und erfordert mehr Interaktion von Seiten der Benutzer.
Diesen Umstand machen sich auch Angreifer zunutze. Benutzer werden beispielsweise mit MFA-Anfragen überhäuft mit dem Ziel, sie zu ermüden und dazu zu bringen, MFA-Anfragen blind zu bestätigen (MFA Fatigue). Um derartige Angriffe zu erschweren, haben manche Anbieter bereits zusätzliche Massnahmen implementiert.
Was sollte bei MFA beachtet werden?
Folgende Aspekte sollten bei MFA beachtet werden:
Die Auswahl der richtigen MFA-Technik
Welche Technik für ein Szenario am besten geeignet ist, hängt stark davon ab, welche Möglichkeiten überhaupt angeboten werden und welche Zielgruppe (Benutzer) man hat. Zum Beispiel macht es einen grossen Unterschied aus, ob Benutzer zu einer Organisation gehören oder ob man externe Benutzer (z.B. Kunden) schützen will.
Die Häufigkeit der MFA-Abfrage
Um einer Ermüdung der Benutzer vorzubeugen und den Anmeldeprozess nicht unnötig kompliziert zu gestalten, sollten Wege gefunden werden, um die MFA-Abfragen auf das Notwendigste zu beschränken.
Die Mitglieder von secnovum beraten gerne ihre Kunden bezüglich des Einsatzes von MFA.
Welche Alternativen gibt es zu MFA?
Grosse Softwarehersteller arbeiten daran, Passwörter überflüssig zu machen. Wie das funktionieren kann, wurde bereits von secnovum beleuchtet: https://www.secnovum.ch/blog/fido2-eine-zukunft-ohne-passwoerter