PenetrationstestJan Kahmen7 min Lesezeit

Multi-Faktor-Authentifizierung: Überblick, Definition und Fallbeispiele

Multi-Faktor-Authentifizierung (MFA) oder Zwei-Faktor-Authentifizierung (2FA) ist, wenn von einem Benutzer verlangt wird, mehr als eine Art von Beweis vorzulegen, um sich authentifizieren.

Inhaltsverzeichnis

Einführung

Multi-Faktor-Authentifizierung (MFA) oder Zwei-Faktor-Authentifizierung (2FA) ist, wenn ein Benutzer verlangt wird, mehr als eine Art von Beweis vorzulegen, um an einem System zu authentifizieren. Es gibt vier verschiedene Arten von Beweisen (oder Faktoren), die verwendet werden können, in der nachstehenden Tabelle aufgeführt:

FaktorBeispiele
Etwas, das du kennstPasswörter, PINs und Sicherheitsfragen
Etwas, das du hastHardware- oder Softwaretoken, Zertifikate, E-Mails, SMS und Telefonanrufe
Etwas, das du bistFingerabdrücke, Gesichtserkennung, Iris-Scans und Handabdruck-Scans
StandortQuell-IP-Bereiche und Geostandort

Es sollte betont werden, dass die Verlangung mehrerer Beispiele von einem Faktor (z.B. das benötigen sowohl ein Passwort als auch eine PIN) keine MFA darstellt, obwohl es im Vergleich zu einem einfachen Passwort einige Sicherheitsvorteile bietet.
Darüber hinaus werden in den folgenden Abschnitten die Nachteile und Schwächen von MFA diskutiert, obwohl diese in vielen Fällen nur relevant gegen gezielte Angriffe sind. Vorab: Jede MFA ist besser als keine MFA.

Vorteile

Der häufigste Weg, auf dem Benutzerkonten in Anwendungen kompromittiert werden, sind schwache, wiederverwendete oder gestohlene Passwörter. Trotz aller technischen Sicherheitskontrollen, die in der Anwendung implementiert wurden, sind Benutzer dazu angehalten, schwache Passwörter zu wählen oder dieselben Passwörter auf verschiedenen Anwendungen zu verwenden. Als Entwickler oder Systemadministratoren sollte angenommen werden, dass Benutzerpasswörter irgendwann kompromittiert werden, und das System sollte so entworfen werden, um sich dagegen zu verteidigen.

Nachteil

Die größte Nachteil von MFA ist die Erhöhung der Verwaltungskomplexität sowohl für Administratoren als auch für Endbenutzer. Viele weniger technisch versierte Benutzer können Schwierigkeiten haben, MFA zu konfigurieren und zu verwenden. Darüber hinaus gibt es eine Reihe anderer häufiger Probleme:

Arten von MFA, die Benutzern die Verwendung bestimmter Hardware erfordern, können erhebliche Kosten und administrative Overheads verursachen.
Benutzer können ausgesperrt werden, wenn sie ihre anderen Faktoren verlieren oder nicht verwenden können.
MFA fügt der Anwendung zusätzliche Komplexität hinzu. Viele MFA-Lösungen fügen externe Abhängigkeiten zu Systemen hinzu, die Sicherheitslücken oder einzelne Ausfallpunkte verursachen können.
Prozesse, die zur Umgehung oder Zurücksetzung von MFA implementiert wurden, können von Angreifern ausgenutzt werden.
Das Erfordern von MFA kann einigen Benutzern den Zugriff auf die Anwendung verwehren.

Empfehlungen

Genau wann und wie MFA in einer Anwendung implementiert wird, hängt von einer Reihe verschiedener Faktoren ab, einschließlich des Bedrohungsmodells der Anwendung, des technischen Niveaus der Benutzer und des administrativen Kontrollniveaus über die Benutzer. Diese müssen für jede Anwendung einzeln berücksichtigt werden. Allgemein gültige Empfehlungen sind jedoch folgende:

Den Benutzern die Option geben, MFA für ihre Konten mit TOTP zu aktivieren.
MFA für administrative oder andere hoch privilegierte Benutzer erforderlich machen.
In Betracht ziehen, Unternehmens-IP-Bereiche zuzulassen, damit MFA nicht von ihnen verlangt wird.
Dem Benutzer erlauben, sich die Verwendung von MFA in seinem Browser zu merken, damit er nicht jedes Mal, wenn er sich anmeldet, dazu aufgefordert wird.
Einen sicheren Prozess implementieren, um es Benutzern zu ermöglichen, ihre MFA zurückzusetzen.

Wann ist eine Mehrfaktorauthentifizierung erforderlich?

Der wichtigste Ort, an dem eine Mehrfaktorauthentifizierung in einer Anwendung erforderlich ist, ist beim Anmelden des Benutzers. Abhängig von den verfügbaren Funktionen kann es jedoch auch angemessen sein, eine Mehrfaktorauthentifizierung für die Ausführung sensibler Aktionen zu erfordern, wie zum Beispiel:
Ändern von Passwörtern oder Sicherheitsfragen.
Ändern der E-Mail-Adresse, die mit dem Konto verknüpft ist.
Deaktivieren der Mehrfaktorauthentifizierung.
Erhöhen einer Benutzersitzung auf eine administrative Sitzung.
Falls die Anwendung mehrere Möglichkeiten für einen Benutzer bietet, sich zu authentifizieren, sollten alle MFA (Mehrfaktorauthentifizierung) erfordern oder andere Schutzmaßnahmen implementiert haben. Ein häufig übersehener Bereich ist, wenn die Anwendung eine separate API zum Anmelden bereitstellt oder eine zugehörige mobile Anwendung hat.

Verbesserung der Benutzerfreundlichkeit

Das häufige Einloggen mit MFA erzeugt für Benutzer eine zusätzliche Belastung und kann dazu führen, dass sie MFA in der Anwendung deaktivieren. Es können eine Reihe von Mechanismen verwendet werden, um den Ärger zu verringern, den MFA verursacht. Diese Maßnahmen reduzieren jedoch die von MFA gebotene Sicherheit, so dass eine Risikobewertung durchgeführt werden muss, um ein angemessenes Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit für die Anwendung zu finden.
Erinnern Sie sich an den Browser des Nutzers, damit er nicht jedes Mal MFA verwenden muss. Dies kann entweder dauerhaft oder für einen Zeitraum von einigen Tagen sein. Dies muss mit mehr als nur einem Cookie erfolgen, der von einem Angreifer gestohlen werden könnte. Zum Beispiel ein Cookie, das dem vorherigen IP-Adressbereich entspricht, für den das Cookie ausgestellt wurde. Erlauben Sie Unternehmens-IP-Bereiche (oder, strenger, die Verwendung von Standort als zweiten Faktor). Dies schützt nicht vor böswilligen Insidern oder einer Kompromittierung des Arbeitsplatzes des Benutzers. Nur die Anforderung von MFA für sensible Aktionen, nicht für den initialen Login.

MFA-Reset

Ein der größten Herausforderungen bei der Implementierung von MFA besteht darin, Benutzern zu helfen, die ihre zweiten Faktoren vergessen oder verlieren. Es gibt viele Möglichkeiten, wie dies passieren kann, z.B.: Neuinstallation eines Arbeitsplatzes ohne Sicherung digitaler Zertifikate. Löschen oder Verlieren eines Telefons ohne Sicherung von OTP-Codes. Ändern der Mobilnummer.

Um zu verhindern, dass Benutzer von der Anwendung ausgeschlossen werden, muss es ein Mechanismus geben, mit dem sie Zugriff auf ihr Konto erhalten können, wenn sie ihre vorhandene MFA nicht verwenden können; es ist jedoch auch entscheidend, dass dies einem Angreifer nicht ermöglicht, die MFA zu umgehen und ihr Konto zu übernehmen.

Es gibt keine eindeutige "beste Methode", um dies zu tun, und was angemessen ist, wird sich stark auf die Sicherheit der Anwendung und auch auf das Kontrollniveau der Benutzer auswirken. Lösungen, die für eine Unternehmensanwendung funktionieren, in der alle Mitarbeiter sich gegenseitig kennen, sind für eine öffentlich verfügbare Anwendung mit Tausenden von Benutzern auf der ganzen Welt wahrscheinlich nicht umsetzbar. Jede Wiederherstellungsmethode hat ihre eigenen Vor- und Nachteile, und diese müssen im Kontext der Anwendung bewertet werden.

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: