OpenText-Startseite.
Technische Themen

Was ist die Multi-Faktor-Authentifizierung?

Illustration von IT-Elementen mit Schwerpunkt auf einer Glühbirne

Übersicht

Wenn Sie auf eine geschützte Ressource zugreifen, authentifizieren Sie sich bei einem Datenspeicher mit Ihren Anmeldeinformationen. Sie besteht aus einer behaupteten Identität und einem damit verbundenen Geheimnis. Traditionell wurde dies mit einem einfachen Benutzernamen und einem Passwort gemacht, was heute die gängigste Authentifizierungsmethode ist. Leider hat sich gezeigt, dass die Authentifizierung über Benutzername/Passwort sehr anfällig für Phishing und das Hacken von Zugangsdaten ist. Da es schwierig ist, sich Passwörter zu merken, neigen viele Menschen dazu, ein einfaches Passwort zu wählen und es für ihre verschiedenen Online- und Cloud-Dienste wiederzuverwenden. Das bedeutet, dass böswillige Außenstehende, wenn ein Berechtigungsnachweis bei einem Dienst gehackt wird, ihn bei anderen persönlichen und professionellen digitalen Diensten testen. 

Die Multi-Faktor-Authentifizierung (MFA) soll vor diesen und anderen Bedrohungen schützen, indem der Benutzer zwei oder mehr Verifizierungsmethoden angeben muss, bevor er Zugang zu einer bestimmten Ressource wie einer Anwendung, einem Datenspeicher oder einem privaten Netzwerk erhält.

Der Begriff "Faktor" beschreibt die verschiedenen Authentifizierungsarten oder -methoden, die zur Überprüfung der behaupteten Identität einer Person verwendet werden. Die verschiedenen Methoden sind:

  • Etwas, das Sie kennen - wieein Passwort, eine gespeicherte PIN oder eine Frage.
  • Etwas, das Sie besitzen -in der Vergangenheit war es ein fester Token, heute ist es ein Smartphone oder ein sicherer USB-Stick.
  • Etwas, das Sie sind - üblichebiometrische Merkmale sind Fingerabdrücke oder Gesichtserkennung; weniger üblich sind biometrische Merkmale wie Stimme oder andere Erkennungstechnologien.

Multi-Faktor-Authentifizierung

Wie entscheiden Sie, wie viele Faktoren Sie für eine geschützte Ressource konfigurieren sollten?

Die Anforderungen an Sicherheit und Benutzerfreundlichkeit diktieren das Verfahren, mit dem die Identitätsangabe des Antragstellers bestätigt wird. Die Multi-Faktor-Authentifizierung ermöglicht es den Sicherheitsteams, auf den Kontext oder die Situation des Antragstellers (Person oder programmatischer Prozess) zu reagieren, wobei die Aufhebung des Zugangs das häufigste Szenario ist. Die IT-Abteilung muss nicht nur festlegen, wie viele Authentifizierungsarten erforderlich sind, sondern auch die Kosten für die Anforderungen an die Benutzerfreundlichkeit mit den Kosten für deren Implementierung abwägen.

Ein-Faktor-Authentifizierung (SFA)

SFA war und ist der Standard für die Sicherung des Zugangs zu mobilen, Online- und anderen gesicherten Informationen und Einrichtungen. Da es so allgegenwärtig und kostengünstig ist, ist die häufigste Art von SFA der Benutzername und das Passwort. Dennoch werden passwortlose Technologien immer häufiger eingesetzt, um Bedrohungen durch verschiedene Phishing-Angriffe zu vermeiden. Die meisten mobilfunkbasierten Anwendungen ermöglichen beispielsweise die Verwendung von Fingerabdrücken oder Gesichtserkennung anstelle des herkömmlichen Benutzernamens und Passworts.

Passwortlose Optionen (z.B. FIDO2 und Passkeys) sind derzeit von allen großen Plattformanbietern wie Microsoft, Apple und Google erhältlich.

Da sie zur Überprüfung von Identitäten verwendet werden, müssen Authentifizierungs-Tokens vor Außenstehenden geschützt werden. Zusätzlich zur hohen Sicherheit der Token sind sie oft so konfiguriert, dass sie relativ häufig ablaufen, was ihre Aktualisierungsrate erhöht. Die Implementierung kurzlebiger Token, die unter der passwortlosen Schnittstelle verwendet werden, erhöht zwar die Sicherheit, erreicht aber nicht das Niveau der Zwei-Faktor-Authentifizierung.

Moderne passwortlose Mechanismen wie Passkeys oder WebAuthn werden in der Regel nicht als einfache SFA eingestuft - es handelt sich um stärkere Formen der Authentifizierung, die oft mehrere kryptografische Zusicherungen kombinieren (etwas, das Sie haben und manchmal etwas, das Sie sind). Ein echtes passwortloses System kann, wenn es richtig implementiert ist, selbst eine Form der starken Mehrfaktor- oder erweiterten Authentifizierung sein.

Zwei-Faktor-Authentifizierung (2FA)

2FA erhöht die Sicherheit, indem der Benutzer einen zweiten Typ (wissen, haben, sind) zur Identitätsprüfung angeben muss. Ein Identitätsnachweis kann ein physisches Token sein, wie z. B. ein Personalausweis, und der andere ist etwas, das man sich merken kann, wie z. B. ein Challenge/Response, ein Sicherheitscode oder ein Passwort. Ein zweiter Faktor legt die Hürde für böswillige und andere externe Akteure, die Sicherheit erfolgreich zu durchbrechen, erheblich höher.

Hier finden Sie eine Liste gängiger Authentifizierungsmethoden:

  • Einmalige Passwörter - TOTP, HOTP, YubiKey und andere FIDO-konforme Geräte
  • Andere Out-of-Band-Sprachanrufe, Mobile Push
  • PKI-Zertifikate
  • Biometrische Daten - Fingerabdruck, Gesicht, Stimmerkennung
  • Proximity-Karten, mobile App Geo-Fencing
  • Was Sie wissen - Passwörter, Sicherheitsfragen

Drei-Faktor-Authentifizierung (3FA)

Diese Methode fügt dem Zweifaktor einen weiteren Faktor hinzu, der es noch schwieriger macht, eine behauptete Identität zu fälschen. Ein typisches Szenario wäre die Ergänzung eines bestehenden Benutzernamens/Passworts um biometrische Daten und eine Anmeldung mit einer Proximity-Karte. Da es zu erheblichen Reibungsverlusten führt, sollte es für Situationen reserviert werden, die ein hohes Maß an Sicherheit erfordern. Banken können Situationen finden, in denen 3FA sinnvoll ist, ebenso wie verschiedene Regierungsbehörden. Spezielle Hochkontrollbereiche in einem Teil eines Flughafens oder Krankenhauses sind ebenfalls Bereiche, in denen die Sicherheitsteams 3FA als notwendig erachtet haben. 3FA ist unüblich und adaptive MFA (die das Kontextrisiko bewertet) ist die vorherrschende Richtung in der Branche.

Wo wird MFA normalerweise eingesetzt?

Obwohl viele Unternehmen die Benutzerüberprüfung als nachträgliche Maßnahme betrachten, ist es wichtig zu wissen, dass die jährliche DBIR-Studie von Verizon zeigt, dass das Hacken von Anmeldedaten zu den wichtigsten Angriffsstrategien gehört. Es ist nur eine Frage der Zeit, bis praktisch jedes Unternehmen einen Vorfall erleidet, bei dem sensible Informationen verloren gehen, was zu einem spürbaren finanziellen Verlust und einem potenziellen Vertrauensverlust bei den Kunden führt.

Diese Trends sind deshalb so bemerkenswert, weil die Multi-Faktor-Authentifizierung noch nie so einfach und kostengünstig zu implementieren war wie heute. Traditionell beschränken Unternehmen ihre MFA-Implementierungen auf eine kleine Untergruppe spezialisierter Benutzer, die mit Informationen arbeiten, die ein höheres Risiko für das Unternehmen darstellen. Die Kosten und die Benutzerfreundlichkeit waren häufig die begrenzenden Faktoren, die einen breiteren Einsatz der starken Authentifizierungstechnologie verhindert haben. In der Vergangenheit waren starke Authentifizierungsmethoden teuer in der Anschaffung, Bereitstellung (einschließlich der Registrierung der Benutzer) und Verwaltung. In jüngster Zeit haben sich jedoch branchenübergreifend, innerhalb der Organisationen selbst, ihrer Kunden (oder Patienten, Bürger, Partner usw.) und der Technologie, zu der sie Zugang haben, weitreichende Veränderungen ergeben.

Was sind die wichtigsten geschäftlichen Gründe für die Einführung der Multi-Faktor-Authentifizierung?

Auch wenn jedes Unternehmen seine eigenen konkreten Anforderungen hat, gibt es doch einige übergeordnete geschäftliche Faktoren, die häufig in allen Unternehmen gleich sind:

  • Die meisten Branchen müssen eine Art von Datenschutzgesetz bezüglich Kunden-, Patienten- oder Finanzdaten einhalten. Darüber hinaus verschärfen Regierungsbehörden weiterhin ihre Richtlinien, die MFA zur Überprüfung der Benutzeridentität vorschreiben.
  • Mehr denn je arbeiten Berufstätige außerhalb des Büros, entweder als Road Warriors oder als Remote-Mitarbeiter. Sie verwenden MFA als Teil ihrer Risikomanagement-Praktiken oder als Teil einer Compliance-Initiative für Informationen (Kunden, Patienten, Bürger, HR usw.), die staatlichen Authentifizierungsvorschriften unterliegen.
  • Power-User und die Organisationen, in denen sie arbeiten, bewegen sich in einer allgegenwärtig vernetzten Welt. Das bedeutet, dass die Gefährdung ihres Arbeitgebers, wenn ihre Anmeldedaten missbraucht werden, ein zwingender Grund ist, ihre Konten mit MFA zu sichern.
  • Praktisch jeder hat einen vernetzten Computer (Smartphone) in der Tasche, von dem aus er sein Leben gestaltet: soziale Medien, personalisierte Inhalte für Verbraucher und E-Commerce. Da Kunden erwarten, dass sie auf ihren Geräten digital mit Unternehmen interagieren, verfolgen Unternehmen oft eine aggressive Strategie für mobile Apps, die eine MFA benötigen, um ihr Risiko zu verwalten.

Welche Vorschriften schreiben vor, dass Unternehmen MFA verwenden müssen, um die Vorschriften einzuhalten?

MFA ist jetzt eine Grundvoraussetzung in:

  • PCI DSS v4.0 - füralle Fernzugriffe auf Systeme, die Karteninhaberdaten verarbeiten.
  • HIPAA - fürden Schutz elektronischer geschützter Gesundheitsinformationen (ePHI).
  • NIS2 und DORA - diestrenge Zugangskontrollen in kritischen Bereichen verlangen.
  • Cyber-Versicherungspolicen - die meisten verlangen MFA für die Abdeckung.

Welche Möglichkeiten gibt es, die MFA so zu gestalten, dass sie die Nutzererfahrung weniger beeinträchtigt?

Der IT-Abteilung stehen einige Technologien zur Verfügung, um die Reibungsverluste zu verringern, die MFA für die Benutzer mit sich bringen kann:

  • Einmalige Anmeldung.
  • Risikobewertung eines Zugangsantrags.
  • Anpassung der besten Authentifizierungsart an den Benutzer.

Einmalige Anmeldung (SSO)

SSO ermöglicht es Benutzern, sich mit nur einer einzigen Interaktion bei mehreren Ressourcen zu authentifizieren. Das bedeutet, dass Benutzer einen einzigen Berechtigungsnachweis eingeben, mit dem sich die darunter liegende Infrastruktur während dieser Sitzung in ihrem Namen bei jeder der geschützten Ressourcen authentifiziert. Der sicherste Ansatz für SSO ist, dass die Authentifizierungs-Engine für jede Ressource, die für SSO eingerichtet ist, einen eindeutigen Satz von Anmeldeinformationen verwendet. Dies erhöht die Sicherheit auf ein hohes Niveau, denn:
  • Der Benutzer kennt nicht die tatsächlichen Anmeldedaten der Ressource, sondern nur die Anmeldedaten, die dem Authentifizierungs-Gateway mitgeteilt wurden. Dadurch wird der Benutzer gezwungen, das Authentifizierungs-Gateway zu verwenden, anstatt die Ressource direkt aufzurufen. Es bedeutet auch, dass jede Ressource einen eindeutigen Berechtigungsnachweis hat. Wenn also der Identitätsspeicher von einem von ihnen verletzt wird, sind die anderen nicht gefährdet. Dieser Ansatz ermöglicht es der IT-Abteilung, die MFA-Anforderungen zu erfüllen und gleichzeitig Serienauthentifizierungen für geschützte Ressourcen durchzuführen.
  • Durch die Nutzung des Benutzerkontextes kann die risikobasierte (RBA) Technologie dazu verwendet werden, MFA nur bei Bedarf aufzurufen. Ganz gleich, ob es darum geht, ein staatliches Mandat zu erfüllen oder die Risikomanagement-Richtlinien des Unternehmens durchzusetzen, RBA kann dazu verwendet werden, die Fälle zu verringern, in denen einem Benutzer eine Authentifizierungsanfrage auferlegt wird. Die Richtlinien sind in der Regel eine Mischung aus Standort, Gerät und Zugriffszeit.

Reibungsarme Authentifizierungsoptionen

Während die traditionellen OTPs/TOTPs weiterhin die gängigste Art der Zweit-Faktor-Authentifizierung sein werden, kann es andere Optionen geben, die für eine bestimmte Situation sinnvoller sind. Mobile Out-of-Band-Push-Apps bieten eine reibungslose Alternative zum OTP, da der Benutzer nur die Schaltfläche "Akzeptieren" drücken muss. Für Situationen mit höherem Risiko können einige Push-Apps so konfiguriert sein, dass sie einen Fingerabdruck zur Überprüfung der Identität der Person sowie eine Bestätigung der Informationen (z. B. eine auf dem Desktop angezeigte Nummer) verlangen, um weiter zu verifizieren, dass der Benutzer sowohl über den Desktop als auch über das Smartphone verfügt.

Die Gesichtserkennung entwickelt sich schnell zur biometrischen Authentifizierung der Wahl. Die geringe Reibung von Windows Hello und die Tatsache, dass es mit der Zeit immer besser wird, bieten ein angenehmes Benutzererlebnis. Die größte Herausforderung ist, dass Windows Hello bei verschiedenen Beleuchtungssituationen nicht gut funktioniert. Diese Unfähigkeit, Gesichter bei unterschiedlichen Lichtverhältnissen zu erkennen, kann durch zusätzliche Gesichtsregistrierungen behoben werden. In jüngerer Zeit bieten einige mobile Apps die Möglichkeit, die Iris-Muster der Augen einer Person zu registrieren. In Kombination (Gesicht, Fingerabdruck, Iris) legen die biometrischen Authentifizierungsoptionen die Messlatte für die Sicherheit hoch, die ein Außenstehender überspringen kann. Biometrische Methoden sind auch eine hervorragende Option für Unternehmen, die sich vor Phishing-Angriffen schützen möchten.

Die Spracherkennung hat im Finanzdienstleistungssektor an Popularität gewonnen. Die Institutionen mögen es, weil es für die Kunden völlig passiv ist, wenn sie mit einem Servicemitarbeiter sprechen. Der Vertreter wird benachrichtigt, wenn die Identität des Kunden überprüft worden ist. Sie nutzen die Spracherkennung anstelle von Fangfragen bei Kunden, die sich die richtigen Antworten häufig nicht merken können. In diesem Fall werden Sicherheit und Benutzerfreundlichkeit optimiert.

FIDO/FIDO2 sind attraktive Optionen für Benutzer, die mit mehreren Geräten unterwegs sind. Ein Teil dessen, was FIDO zu einer attraktiven Authentifizierungsoption macht, ist die breite Herstellerunterstützung und der Fokus auf Benutzerfreundlichkeit. FIDO hat in Universitäten, die mit einer großen Anzahl von Studenten zu tun haben, die eine Vielzahl von digitalen Diensten nutzen, bemerkenswerte Erfolge erzielt. FIDO ermöglicht die Portabilität der passwortlosen Authentifizierung über verschiedene Geräte und Plattformen hinweg.

Die Profilierung von Smartphone-Gesten ist eine Form der Verhaltensanalyse, die analysiert, wie eine Person physisch mit ihrem Gerät interagiert. Es verwendet Heuristiken, um Muster in Gesten zu erkennen und erstellt Vertrauenswerte auf der Grundlage der Konsistenz dieser Muster. Je mehr Daten gesammelt werden, desto sicherer wird das System bei der Erkennung des einzigartigen Verhaltens des Benutzers und desto genauer - oder zuverlässiger - wird das Gestenprofil. Obwohl die Gestenerfassung zunächst nicht stark genug ist, um als primäre Methode zur Identitätsüberprüfung zu dienen, kann sie in Kombination mit anderen Authentifizierungsmethoden eine nützliche Ergänzung darstellen.

Wie OpenText hilft

OpenText™ Advanced Authentication ist Teil unseres Portfolios für das Identitäts- und Zugriffsmanagement in Unternehmen. Es ermöglicht einen flexiblen Einsatz von MFA, einschließlich:

  • Passwortlose und biometrische Authentifizierung.
  • Risikobasierte und kontextbezogene Zugriffsentscheidungen.
  • Durchsetzung von Richtlinien in hybriden und Multi-Cloud-Umgebungen.
  • Integration über APIs, SDKs und Föderationsprotokolle (SAML, OAuth, OIDC).

Ganz gleich, ob Sie interne Benutzer, Partner oder Verbraucher schützen wollen, OpenText bietet sichere, konforme und skalierbare Authentifizierung im Unternehmensmaßstab.

Wie unterscheidet sich OpenText Advanced Authentication von anderen MFA-Lösungen?

Sicherheitsteams implementieren oft die unterstützende Software, die mit der von ihnen eingeführten Authentifizierung einhergeht. Das scheint gut zu funktionieren, bis verschiedene Geräte gekauft werden, die eine andere Software-Implementierung erfordern, wodurch ein weiteres Silo entsteht. In großen Unternehmen kann es mehrere Silos mit passwortlosen Technologien geben, die entweder für die Multi-Faktor-Authentifizierung oder zur Erfüllung anderer Authentifizierungsanforderungen verwendet werden. Die Schwäche dieser Situation ist, dass jedes Authentifizierungssilo seine eigenen Richtlinien hat. Die Aktualisierung dieser mehreren Richtlinienspeicher erfordert einen höheren Verwaltungsaufwand und birgt das Risiko, dass die Richtlinien nicht einheitlich sind.

OpenText Advanced Authentication wurde entwickelt, um selbst die Anforderungen der größten Organisationen an die Multi-Faktor-Authentifizierung zu erfüllen. Sein auf Standards basierender Ansatz bietet eine offene Architektur, die frei von den Risiken einer Anbieterbindung ist. Das Framework unterstützt eine Vielzahl von Geräten und zusätzlichen Out-of-the-Box-Methoden, kann aber auch erweitert werden, wenn neue Technologien auf den Markt kommen.

Unabhängig von der Plattform (Web, Mobilgerät, Client) bietet OpenText Advanced Authentication außerdem sofort einsetzbare Unterstützung für die gängigsten Plattformen und Anwendungen. OpenText Advanced Authentication dient nicht nur als zentrale Policy Engine für unternehmensweite Authentifizierungen, sondern bietet auch eine risikobasierte Engine, mit der Sie steuern können, wann MFA aufgerufen wird und welche Authentifizierungsarten bei unterschiedlichen Risikostufen angeboten werden. OpenText Advanced Authentication lässt sich nicht nur in die eigene Engine integrieren, sondern auch in den OpenText Access Manager, um eine Reihe von Single Sign-On-Optionen und Risikokennzahlen bereitzustellen, die im Rahmen einer adaptiven Zugriffsverwaltung genutzt werden können.

Verwandte Produkte

OpenText™ Advanced Authentication

Aktivieren Sie die kennwortlose und mehrstufige Authentifizierung für einen einfachen, unternehmensweiten Schutz

OpenText™ Access Manager

Ermöglichen Sie Single Sign-on und Zugriffskontrolle bei mobilen, Cloud- und älteren Plattformen

OpenText™ Core Identity Foundation

Cloud-native Plattform für Identitätssicherheit

Alle verwandten Produkte anzeigen

Wie können wir behilflich sein?

Fußnoten