Was ist Multi-Faktor-Authentifizierung (MFA) – und warum ist sie so wichtig?
von Tina Siering
Warum ein Passwort allein längst nicht mehr ausreicht
In den letzten Jahren ist die Zahl der Cyberangriffe deutlich gestiegen. Insbesondere das Abgreifen von Zugangsdaten durch Phishing oder Social Engineering wird von Hackern als Schwachstelle überdurchschnittlich häufig ausgenutzt. Dabei sind es nicht nur schwache Passwörter, die in den Händen der Cyberkriminellen landen. Vielmehr kann jedes Passwort auf jeder Seite im Netz, in Ihrem E-Mail-Programm oder auch in der vermeintlich sicheren Umgebung Ihrer Banking-App in falsche Hände gelangen. Laut dem aktuellen Data Breach Investigations Report werden bei mehr als 60 Prozent aller Sicherheitsvorfälle gestohlene Anmeldeinformationen verwendet. Gestohlene Zugangsdaten werden in einschlägigen Foren mit hohen Margen verkauft – das Abgreifen von Passwörtern lohnt sich für Hacker also gleich doppelt.
Was ist Multi-Faktor-Authentifizierung?
Bei der Multi-Faktor-Authentifizierung (MFA) sind zwei oder mehr Berechtigungsnachweise erforderlich, um als User Zugang zu einem System zu erhalten oder eine Transaktionen zu verifizieren. Die eingesetzten Faktoren können entweder auf einer physischen Einheit (wie Mobiltelefone oder Smartcards), auf biometrischen Merkmalen oder auch „geheimem“ Wissen basieren. Kennzeichnend für die Faktoren ist, dass sie immer unabhängig voneinander funktionieren. Gängig sind aktuell unter anderem folgende Kombinationen, die im Rahmen einer MFA abgefragt werden:
- Passwort + Kennung, an das Smartphone gesendet
- PIN + Identitätsnachweise, beispielsweise über eine Chipkarte
- Passwort + Sicherheitsfrage
- Identitätskarte + Iris-Scan
Die bekannteste Form der MFA: Die Zwei-Faktor-Authentifizierung
Die Kombination aus zwei Berechtigungsnachweisen im Rahmen der Zwei-Faktor-Authentifizierung ist gerade im Privatbereich die wohl bekannteste Form der Authentifizierung. 2FA, so die Abkürzung für das Verfahren, kommt beim Online-Banking, bei der Anmeldung zu Web-Services, beim Zugang zu Netzwerken oder auch bei der Zutrittsberechtigung in sensiblen Bereichen zum Einsatz. Die Authentifizierung erfolgt bei der 2FA durch die Kombination aus Passwort und Push-TAN, PIN und Identifikationskarte oder Passwort und Sicherheitsfrage. Die weite Verbreitung der 2FA liegt in ihrer guten Usability, die das Einloggen in geschützte Bereiche absichert, ohne dass sie dabei mit allzu großem Zusatzaufwand verbunden ist.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Warum funktioniert die Multi-Faktor-Authentifizierung so gut?
Passwörter lassen sich recht einfach abgreifen. Anders sieht es mit Anmeldeinformationen aus, die entweder rein physisch im Besitz des Users sind, die nur der User kennt oder die gar Teil der Biometrie des Users sind. Die Multi-Faktor-Authentifizierung erweitert den Anmeldeprozess um Faktoren, die wie folgt beschrieben werden können:
Geheime Faktoren
Den einfachsten Schutz im Bereich der MFA stellt das „Geheimwissen“ dar, das nur dem User bekannt sein kann. Mit persönlichen Fragen (z. B. „Wie ist der Mädchenname Ihrer Mutter?“) soll sichergestellt werden, dass die Person, die einen Zugriff auf einen geschützten Bereich anfragt, auch wirklich dazu autorisiert ist. Die „geheimen Faktoren“ gelten als die am wenigsten sicheren Faktoren – da sie von Angreifern erraten oder kompromittiert werden können.
Physische Faktoren
Diese Faktoren sind vergleichsweise schwierig zu kompromittieren, denn sie bestehen aus Gegenständen, die nur der User in Besitz hat. Physische Faktoren können beispielsweise Smartcards, Smartphones oder Schlüsselanhänger mit Chip sein.
Biometrische Faktoren
Die sicherste Faktor-Kategorie sind physische Identifikatoren, die genau einer Person zugeordnet werden können. Bekannt ist hier der Fingerabdruck-Scan oder der Scan der Iris. Auch Stimmen- oder Gesichtserkennung wird eingesetzt.
Je mehr Möglichkeiten miteinander kombiniert werden, desto sicherer ist das Anmeldeverfahren.
MFA ohne Agenten oder Proxys: Unified Identity Protection macht’s möglich
Für den zuverlässigen Schutz auf allen Ressourcen, sowohl in Multi-Cloud- als auch in On-Premises-Umgebungen, wird ein neuartiger Ansatz verwendet, der die traditionelle Multi-Faktor-Authentifizierungsarchitektur grundlegend verändert. Während sich bei konventioneller MFA der Agent zur Verifikation direkt auf den Geräten befindet, arbeitet die Unified Identity Protection Lösung mit einer direkten Kommunikation - dem sogenannten Identity- und Access Management. Sobald ein User Zugriff auf eine Ressource beantragt, wird er hierbei im Echtzeit-Quick-Check überprüft. Nach erfolgreicher Authentifizierung wird die Zugriffsanfrage des Users an die Unified Protection Plattform weitergeleitet. Hier wird durch eine KI-basierte Risiko-Engine der Kontext der Zugriffsanfrage analysiert und automatisch in eine vordefinierte Zugriffsrichtlinie einsortiert. Bei vermutetem hohen Risiko erhöht die KI die Anforderungen zur Authentifizierung – und fordert den User beispielsweise zu einer MFA auf. Kann der User die MFA korrekt lösen, wird der Zugriff auf die Ressource durch die Unified Identity Protection gestattet. Wurde die MFA-Aufgabe hingegen nicht gelöst, kann der Zugriff für den entsprechenden User umgehend komplett unterbunden werden. Der Vorteil des neuen Verfahrens: MFA kann so mühelos auf alle Ressourcen ausgeweitet werden, die mit dem Identity- und Access Management verknüpft sind.
Die Vor- und Nachteile der Multi-Faktor-Authentifizierung
MFA unterbindet zuverlässig eines der größten Cyberbedrohungs-Szenarien – den Diebstahl von Passwörtern und damit Identitäten. Selbst wenn Cyber Kriminelle in den Besitz eines Passworts gelangen (und dies ist heute einfacher als jemals zuvor), ist dieses Passwort ohne zusätzliche Authentifizierung nutzlos. Mit MFA lassen sich vergleichsweise einfach auch die Anwendungen schützen, die von wenig technikaffinen Personen regelmäßig genutzt werden – man denke hier an Online-Banking, E-Mails oder den Login in persönliche Bereiche von Online-Shops. Auch im betrieblichen Umfeld erhöht MFA die Sicherheit. Wenn sensible Bereiche innerhalb eines Unternehmens durch mehrere Faktoren abgesichert sind, wird Unbefugten der Zutritt nochmals deutlich erschwert.
So hilfreich eine Multi-Faktor-Authentifizierung auch ist – ohne Nachteil kommt dieses Verfahren nicht aus. Denn das Plus an Sicherheit stellt eine spürbare Einschränkung der Usability dar. Gerade dann, wenn mehrere Faktoren für einen Zutritt zu einem geschützten Bereich zu verwenden sind, gestaltet sich der Anmeldevorgang für den User aufwendiger. Hinzu kommt: Geht auch nur einer der Faktoren verloren (beispielsweise, wenn ein Smartphone verlegt wird oder die Identitätskarte defekt ist), ist kein Zugriff mehr möglich.
Fazit zum Thema Multi-Faktor-Authentifizierung
Die Zeiten, in denen ein einfaches Passwort für einen zuverlässigen Schutz im Netz ausgereicht hat, sind endgültig vorbei. Hacker weltweit haben es auf den Diebstahl von Identitäten abgesehen und in einschlägigen Foren floriert der Handel mit gestohlenen Passwörtern. Die Multi-Faktor-Authentifizierung schiebt dem Passwort-Diebstahl einen zuverlässigen Riegel vor. Die Kombination aus zwei oder mehr einzelnen Faktoren für eine Zugriffsberechtigung mag zwar unpraktisch erscheinen, aber erhöht die Cybersicherheit und den Schutz persönlicher Daten deutlich. Ob Sicherheitsfragen, biometrische Merkmale oder physische Faktoren wie ein Smartphone: Wege zur erhöhten Sicherheit gibt es einige. Ergänzt wird die MFA durch die neuartige Unified Identity Protection – eine Sicherheitslösung, die extrem skalierbar und auch für Multi-Cloud-Bereiche geeignet ist.