Was ist Multi-Faktor-Authentifizierung?

Wenn Sie auf eine geschützte Ressource zugreifen, authentifizieren Sie sich bei einem Datenspeicher mit Ihren Anmeldeinformationen. Sie besteht aus einer behaupteten Identität und einem damit verbundenen Geheimnis. Traditionell wurde dies mit einem einfachen Benutzernamen und einem Kennwort durchgeführt und ist heute die häufigste Authentifizierungsmethode. Leider hat sich gezeigt, dass die Authentifizierung mit Benutzername und Kennwort sehr anfällig für Phishing und das Hacken von Zugangsdaten ist. Da es schwierig ist, sich Passwörter zu merken, neigen viele Menschen dazu, ein einfaches Passwort zu wählen und es für ihre verschiedenen Online- und Cloud-Dienste wiederzuverwenden. Das bedeutet, dass böswillige Außenstehende, wenn ein Berechtigungsnachweis bei einem Dienst gehackt wird, ihn bei anderen privaten und beruflichen digitalen Diensten testen. 

Die Multi-Faktor-Authentifizierung (MFA) soll vor diesen und anderen Bedrohungen schützen, indem der Benutzer zwei oder mehr Verifizierungsmethoden angeben muss, bevor er Zugang zu einer bestimmten Ressource wie einer Anwendung, einem Datenspeicher oder einem privaten Netzwerk erhält.

Der Begriff "Faktor" beschreibt die verschiedenen Authentifizierungsarten oder -methoden, die zur Überprüfung der behaupteten Identität einer Person verwendet werden. Die verschiedenen Methoden sind:

• Etwas, das Sie kennen - wie ein Passwort, eine auswendig gelernte PIN oder Sicherheitsfragen.
• Etwas, das Sie haben - früher war es ein fester Token, heute ist es meist ein Smartphone oder ein sicherer USB-Stick.
• Etwas, das Sie sind - gängige Biometrien sind Fingerabdruck, Gesichtserkennung; weniger verbreitet sind Biometrien wie Stimme oder andere Erkennungstechnologien.

Wie entscheide ich, wie viele Faktoren ich für eine geschützte Ressource konfigurieren soll?

Die Anforderungen an Sicherheit und Benutzerfreundlichkeit diktieren das Verfahren, mit dem die Identitätsangabe des Antragstellers bestätigt wird. Die Multi-Faktor-Authentifizierung ermöglicht es den Sicherheitsteams, auf den Kontext oder die Situation des Antragstellers (Person oder programmatischer Prozess) zu reagieren, wobei die Aufhebung des Zugangs das häufigste Szenario ist. Die IT-Abteilung muss nicht nur festlegen, wie viele Authentifizierungsarten erforderlich sind, sondern auch die Kosten für die Anforderungen an die Benutzerfreundlichkeit mit den Kosten für deren Implementierung abwägen.

Ein-Faktor-Authentifizierung (SFA)

SFA war und ist der Standard für die Sicherung des Zugangs zu mobilen, Online- und anderen gesicherten Informationen und Einrichtungen. Da es so allgegenwärtig und kostengünstig ist, ist die häufigste Art von SFA der Benutzername und das Passwort. Dennoch werden passwortlose Technologien immer häufiger eingesetzt, um Bedrohungen durch verschiedene Phishing-Angriffe zu vermeiden. Die meisten mobilfunkbasierten Anwendungen ermöglichen beispielsweise die Verwendung von Fingerabdrücken oder Gesichtserkennung anstelle des herkömmlichen Benutzernamens und Passworts. 

Heute bieten die Online-Dienste von Microsoft und Yahoo eine passwortlose SFA-Option an, und andere Anbieter wie Apple und Google werden diese Option im kommenden Jahr ebenfalls anbieten.

Da sie zur Überprüfung von Identitäten verwendet werden, müssen Authentifizierungs-Tokens vor Außenstehenden geschützt werden. Zusätzlich zur hohen Sicherheit der Token sind sie oft so konfiguriert, dass sie relativ häufig ablaufen, was ihre Aktualisierungsrate erhöht. Die Implementierung kurzlebiger Token, die unter der passwortlosen Schnittstelle verwendet werden, erhöht zwar die Sicherheit, erreicht aber nicht das Niveau der Zwei-Faktor-Authentifizierung.

Zwei-Faktoren-Authentifizierung (2FA)

2FA erhöht die Sicherheit, indem der Benutzer einen zweiten Typ (wissen, haben, sind) zur Identitätsprüfung angeben muss. Ein Identitätsnachweis kann ein physisches Token sein, wie z. B. ein Personalausweis, und der andere ist etwas, das man sich merken kann, wie z. B. ein Challenge/Response, ein Sicherheitscode oder ein Passwort. Ein zweiter Faktor legt die Hürde für böswillige und andere externe Akteure, die Sicherheit erfolgreich zu durchbrechen, erheblich höher. 

Hier finden Sie eine Liste gängiger Authentifizierungsmethoden: 

• Einmalige Passwörter - TOTP, HOTP, YubiKey und andere FIDO-konforme Geräte
• Andere out-of-band - Sprachanruf, Mobile Push
• PKI - Zertifikate
• Biometrie - Fingerabdruck, Gesicht, Stimmerkennung
• Annäherung - Karten, Geofencing für mobile Anwendungen
• Was Sie wissen - Passwörter, Sicherheitsfragen
• Soziale Qualifikationen

Drei-Faktoren-Authentifizierung (3FA) 

Fügt einen weiteren Faktor zum Zweifaktor hinzu, um die Fälschung einer behaupteten Identität zu erschweren. Ein typisches Szenario könnte darin bestehen, dass ein bestehender Benutzername/Passwort und ein Proximity-Karten-Login um biometrische Daten ergänzt werden. Da sie ein erhebliches Maß an Reibung mit sich bringt, sollte sie für Situationen reserviert werden, die ein hohes Maß an Sicherheit erfordern. Banken können Situationen finden, in denen 3FA sinnvoll ist, ebenso wie verschiedene Regierungsbehörden. Spezielle Hochkontrollbereiche in einem Teil eines Flughafens oder Krankenhauses sind ebenfalls Bereiche, in denen die Sicherheitsteams 3FA als notwendig erachtet haben.

Wo wird MFA normalerweise eingesetzt?

Obwohl viele Unternehmen die Benutzerüberprüfung als nachträgliche Maßnahme betrachten, ist es wichtig zu wissen, dass die jährliche DBIR-Studie von Verizon zeigt, dass das Hacken von Anmeldedaten zu den wichtigsten Angriffsstrategien gehört. Es ist nur eine Frage der Zeit, bis praktisch jedes Unternehmen einen Vorfall erleidet, bei dem sensible Informationen verloren gehen, was zu einem spürbaren finanziellen Verlust und einem potenziellen Vertrauensverlust bei den Kunden führt.

Diese Trends sind deshalb so bemerkenswert, weil die Multi-Faktor-Authentifizierung noch nie so einfach und kostengünstig zu implementieren war wie heute. Traditionell beschränken Unternehmen ihre MFA-Implementierungen auf eine kleine Untergruppe spezialisierter Benutzer, die mit Informationen arbeiten, die ein höheres Risiko für das Unternehmen darstellen. Die Kosten und die Benutzerfreundlichkeit waren häufig die begrenzenden Faktoren, die einen breiteren Einsatz der starken Authentifizierungstechnologie verhindert haben. In der Vergangenheit waren starke Authentifizierungsmethoden teuer in der Anschaffung, Bereitstellung (einschließlich der Registrierung der Benutzer) und Verwaltung. In jüngster Zeit haben sich jedoch branchenübergreifend, innerhalb der Organisationen selbst, ihrer Kunden (oder Patienten, Bürger, Partner usw.) und der Technologie, zu der sie Zugang haben, weitreichende Veränderungen ergeben.

Was sind die wichtigsten geschäftlichen Gründe für die Einführung der Multi-Faktor-Authentifizierung?

Zwar hat jedes Unternehmen seine eigenen konkreten Anforderungen, doch gibt es übergeordnete geschäftliche Faktoren, die häufig allen Unternehmen gemeinsam sind: 

• Die meisten Branchen müssen eine Art von Datenschutzgesetz bezüglich Kunden-, Patienten- oder Finanzdaten einhalten. Darüber hinaus verschärfen Regierungsbehörden weiterhin ihre Richtlinien, die MFA zur Überprüfung der Benutzeridentität vorschreiben.
• Fernarbeit - mehr denn je arbeiten Berufstätige außerhalb des Büros, entweder als "Road Warriors" oder als Remote-Mitarbeiter. Sei es im Rahmen des Risikomanagements oder als Teil einer Compliance-Initiative für Informationen (Kunden, Patienten, Bürger, Personalwesen usw.), die staatlichen Authentifizierungsvorschriften unterliegen.
• Power-User und die Organisationen, in denen sie arbeiten, bewegen sich in einer allgegenwärtig vernetzten Welt. Das bedeutet, dass die Gefährdung ihres Arbeitgebers, wenn ihre Anmeldedaten missbraucht werden, ein zwingender Grund ist, ihre Konten mit MFA zu sichern.
• Praktisch jeder hat einen vernetzten Computer (Smartphone) in der Tasche, von dem aus er sein Leben gestaltet: soziale Medien, personalisierte Inhalte und E-Commerce. Da Kunden erwarten, dass sie mit Unternehmen digital über ihre Geräte interagieren, verfolgen Unternehmen oft eine aggressive Strategie für mobile Apps, die MFA benötigen, um ihr Risiko zu verwalten. 

Welche Vorschriften schreiben vor, dass Unternehmen MFA verwenden müssen, um die Vorschriften einzuhalten?

• Der Federal Financial Institutions Examination Council (FFIEC ) hat im Oktober 2005 eine Anleitung herausgegeben, in der die Banken aufgefordert werden, ihre Anmeldeprotokolle zu überprüfen, da sie die Ein-Faktor-Authentifizierung, wenn sie als einziger Kontrollmechanismus verwendet wird, als unzureichend für risikoreiche Transaktionen erachten, die den Zugang oder die Bewegung von Geldern beinhalten, und die Authentifizierung entsprechend dem Risiko ihres Dienstes zu verbessern. Über das Mandat hinaus müssen die Finanzinstitute eine hohe Messlatte anlegen, um das Vertrauen ihrer Kunden zu gewinnen.
• Gramm-Leach-Bliley Act (GLBA ) - U.S. Finanzinstitute müssen die Sicherheit und Vertraulichkeit ihrer Kundendaten gewährleisten.
• Gemäß Abschnitt 404 des Sarbanes-Oxley Act (SOX ) müssen der CEO und der CFO von börsennotierten Unternehmen die Wirksamkeit der internen Kontrollen des Unternehmens bescheinigen.
• PCI DSS-Anforderung 8.2 definiert Authentifizierungsanforderungen, die MFA für den Fernzugriff auf das Cardholder Data Environment (CDE) beinhalten. Außerdem wird empfohlen, welche Methoden angewandt werden sollten.

Welche Möglichkeiten gibt es, die MFA so zu gestalten, dass sie die Nutzererfahrung weniger beeinträchtigt?

Der IT-Abteilung stehen einige Technologien zur Verfügung, um die Reibungsverluste zu verringern, die MFA für die Benutzer mit sich bringen kann:

• Einmalige Anmeldung.
• Risikobewertung eines Zugangsantrags.
• Passen Sie die beste Authentifizierungsart an den Benutzer an.

Einmalige Anmeldung (SSO)

Single Sign-On (SSO) ermöglicht es einem Benutzer, sich mit nur einer einzigen Interaktion bei mehreren Ressourcen zu authentifizieren, d. h. der Benutzer gibt einen einzigen Berechtigungsnachweis ein, mit dem sich die darunter liegende Infrastruktur während dieser Sitzung in seinem Namen bei jeder der geschützten Ressourcen authentifiziert. Der sicherste Ansatz für SSO besteht darin, dass die Authentifizierungs-Engine für jede Ressource, die für SSO eingerichtet ist, einen eindeutigen Satz von Anmeldedaten verwendet. Dadurch wird ein hohes Maß an Sicherheit erreicht, denn:

• Der Benutzer kennt nicht die tatsächlichen Anmeldedaten der Ressource, sondern nur die Anmeldedaten, die dem Authentifizierungs-Gateway mitgeteilt wurden. Dadurch wird der Benutzer gezwungen, das Authentifizierungs-Gateway zu verwenden, anstatt die Ressource direkt aufzurufen. Das bedeutet auch, dass jede Ressource einen eindeutigen Berechtigungsnachweis hat, so dass eine Verletzung des Identitätsspeichers einer Ressource nicht die anderen gefährdet. Mit diesem Ansatz kann die IT-Abteilung die MFA-Anforderungen erfüllen und gleichzeitig Serienauthentifizierungen für geschützte Ressourcen durchführen.  
• Durch die Nutzung des Benutzerkontextes kann die risikobasierte Technologie (RBA) verwendet werden, um MFA nur bei Bedarf aufzurufen. Ganz gleich, ob es darum geht, ein behördliches Mandat zu erfüllen oder die Risikomanagement-Richtlinien des Unternehmens durchzusetzen, RBA kann eingesetzt werden, um die Anzahl der Fälle zu verringern, in denen einem Benutzer eine Authentifizierungsanfrage auferlegt wird. Die Richtlinien sind in der Regel eine Mischung aus Standort, Gerät und Zugriffszeit. 

Reibungsarme Authentifizierungsoptionen

Während die traditionellen OTPs/TOTPs weiterhin die häufigste Art der 2-Faktor-Authentifizierung sein werden, kann es andere Optionen geben, die für eine bestimmte Situation sinnvoller sind. Mobile Out-of-Band-Push-Apps bieten eine reibungsarme Alternative zum OTP, da der Nutzer nur die Schaltfläche "Akzeptieren" drücken muss. Für Situationen, in denen ein höheres Risiko besteht, bieten einige Push-Apps die Möglichkeit, einen Fingerabdruck zu verlangen, um die Identität der Person zu überprüfen, sowie eine Bestätigung von Informationen, wie z. B. eine Nummer, die auf dem Desktop angezeigt wird, um weiter zu überprüfen, ob der Benutzer sowohl den Desktop als auch das Smartphone besitzt.

Die Gesichtserkennung entwickelt sich immer mehr zur bevorzugten biometrischen Authentifizierung. Die reibungslose Funktionsweise von Windows Hello, die mit der Zeit immer besser wird, bietet ein angenehmes Benutzererlebnis. Die größte Herausforderung ist, dass Windows Hello bei verschiedenen Beleuchtungssituationen nicht gut funktioniert. Dieses Versagen bei der Erkennung von Gesichtern bei unterschiedlichen Lichtverhältnissen kann durch zusätzliche Gesichtsregistrierungen behoben werden. In jüngster Zeit bieten einige mobile Anwendungen die Möglichkeit, die Irismuster der Augen einer Person zu registrieren. In Kombination (Gesicht, Fingerabdruck, Iris) legen die biometrischen Authentifizierungsoptionen die Sicherheitsbarriere für einen Außenstehenden ziemlich hoch. Biometrische Verfahren sind auch eine hervorragende Option für Unternehmen, die einen reibungslosen Schutz vor Phishing-Angriffen suchen.

Die Spracherkennung hat im Finanzdienstleistungssektor an Popularität gewonnen. Die Institutionen mögen es, weil es für die Kunden völlig passiv ist, wenn sie mit einem Servicemitarbeiter sprechen. Der Vertreter wird benachrichtigt, wenn die Identität des Kunden überprüft worden ist. Sie nutzen die Spracherkennung anstelle von Fangfragen bei Kunden, die sich die richtigen Antworten häufig nicht merken können. In diesem Fall werden Sicherheit und Benutzerfreundlichkeit optimiert.

FIDO/FIDO2 sind attraktive Optionen für Benutzer, die mit mehreren Geräten unterwegs sind. Ein Teil dessen, was FIDO zu einer attraktiven Authentifizierungsoption macht, ist die breite Unterstützung durch die Anbieter und deren Fokus auf Benutzerfreundlichkeit. FIDO hat in Universitäten, die eine große Anzahl von Studenten haben, die eine Vielzahl von digitalen Diensten nutzen, eine beachtliche Verbreitung gefunden. FIDO ermöglicht die Portabilität der passwortlosen Authentifizierung über verschiedene Geräte und Plattformen hinweg.

Die Erstellung von Profilen von Smartphone-Gesten ist eine Art Verhaltensanalyse, bei der heuristisch untersucht wird, wie der Besitzer mit seinem Gerät umgeht und wie er mit ihm physisch interagiert. Das Ergebnis sind Vertrauensbewertungen auf der Grundlage der verfolgten Gestenmuster. Im Laufe der Zeit wird das Profiling immer vertrauenswürdiger und die Gestengenauigkeit steigt. Auch wenn die Gestenerfassung zunächst nicht stark genug ist, um als primäre Form der Identitätsüberprüfung eingesetzt zu werden, könnte sie in Verbindung mit anderen Authentifizierungsarten eine geeignete Methode darstellen.

Wie unterscheidet sich NetIQ von anderen MFA-Lösungen?

Sicherheitsteams implementieren häufig die unterstützende Software, die mit der von ihnen eingeführten Authentifizierung geliefert wurde. Dies scheint gut zu funktionieren, bis verschiedene Geräte gekauft werden, die eine andere Softwareimplementierung erfordern, wodurch ein weiteres Silo entsteht. In großen Organisationen ist es durchaus möglich, mehrere Silos mit passwortlosen Technologien zu haben, die entweder für die Multi-Faktor-Authentifizierung oder zur Erfüllung anderer Authentifizierungsanforderungen verwendet werden. Der Schwachpunkt dieser Situation ist, dass jedes Authentifizierungssilo seinen eigenen Satz von Richtlinien hat. Die Aktualisierung dieser mehreren Richtlinienspeicher erfordert einen höheren Verwaltungsaufwand und birgt das Risiko uneinheitlicher Richtlinien.

OpenText™ NetIQ™ Advanced Authentication wurde entwickelt, um selbst die Anforderungen der größten Organisationen an die Multi-Faktor-Authentifizierung zu erfüllen. Der auf Standards basierende Ansatz bietet eine offene Architektur, die frei von den Risiken einer Anbieterbindung ist. Das Framework unterstützt eine Vielzahl von Geräten und zusätzlichen Methoden, kann aber auch erweitert werden, wenn neue Technologien auf den Markt kommen.

Unabhängig von der Plattform (Web, Mobile, Client) bietet AA auch eine sofortige Unterstützung für die gängigsten Plattformen und Anwendungen. AA dient nicht nur als zentrale Policy Engine für unternehmensweite Authentifizierungen, sondern bietet auch eine risikobasierte Engine, mit der gesteuert werden kann, wann MFA aufgerufen wird und welche Authentifizierungsarten bei unterschiedlichen Risikostufen angeboten werden. Über die eigene integrierte Engine hinaus lässt sich AA in NetIQ Access Manager integrieren, der ein robustes Set von Single-Sign-On-Optionen und Risikometriken bietet, die als Teil eines adaptiven Zugriffsmanagements genutzt werden können.