Multi-Faktor-Authentifizierung: Überblick, Definition und Fallbeispiele
Multi-Faktor-Authentifizierung (MFA) oder Zwei-Faktor-Authentifizierung (2FA) ist, wenn von einem Benutzer verlangt wird, mehr als eine Art von Beweis vorzulegen, um sich zu authentifizieren.
Einführung
Multi-Faktor-Authentifizierung (MFA) -- auch als Zwei-Faktor-Authentifizierung (2FA) bekannt -- bedeutet, dass sich ein Benutzer mit mehr als einem Nachweis an einem System authentifizieren muss. Dabei lassen sich vier verschiedene Arten von Faktoren unterscheiden:
| Faktor | Beispiele |
|---|---|
| Etwas, das Sie wissen | Passwörter, PINs und Sicherheitsfragen |
| Etwas, das Sie besitzen | Hardware- oder Softwaretoken, Zertifikate, E-Mails, SMS und Telefonanrufe |
| Etwas, das Sie sind | Fingerabdrücke, Gesichtserkennung, Iris-Scans und Handabdruck-Scans |
| Standort | Quell-IP-Bereiche und Geolokation |
Wichtig: Die Kombination mehrerer Nachweise desselben Faktors (z. B. Passwort und PIN) stellt noch keine MFA dar -- auch wenn sie im Vergleich zu einem einzelnen Passwort durchaus Sicherheitsvorteile bietet.
In den folgenden Abschnitten werden auch Nachteile und Schwächen von MFA beleuchtet. Diese sind in vielen Fällen jedoch nur bei gezielten Angriffen relevant. Grundsätzlich gilt: Jede Form von MFA ist besser als keine MFA.
Vorteile
Benutzerkonten werden am häufigsten durch schwache, wiederverwendete oder gestohlene Passwörter kompromittiert. Trotz aller technischen Sicherheitsmaßnahmen neigen Benutzer dazu, einfache Passwörter zu wählen oder dasselbe Passwort für mehrere Anwendungen zu verwenden. Als Entwickler oder Systemadministrator sollten Sie daher davon ausgehen, dass Benutzerpasswörter früher oder später kompromittiert werden -- und Ihr System entsprechend absichern.
Nachteile
Der größte Nachteil von MFA ist die erhöhte Verwaltungskomplexität -- sowohl für Administratoren als auch für Endbenutzer. Insbesondere weniger technikaffine Benutzer haben mitunter Schwierigkeiten bei der Einrichtung und Nutzung. Hinzu kommen weitere typische Herausforderungen:
- MFA-Verfahren, die spezielle Hardware voraussetzen, können erhebliche Kosten und administrativen Aufwand verursachen.
- Benutzer können ausgesperrt werden, wenn sie ihren zweiten Faktor verlieren oder nicht nutzen können.
- MFA erhöht die Komplexität der Anwendung. Viele MFA-Lösungen bringen externe Abhängigkeiten mit sich, die wiederum Sicherheitslücken oder Single Points of Failure erzeugen können.
- Prozesse zur Umgehung oder Zurücksetzung von MFA bieten Angreifern potenzielle Angriffsflächen.
- Die MFA-Pflicht kann dazu führen, dass bestimmte Benutzer keinen Zugang zur Anwendung erhalten.
Empfehlungen
Wann und wie MFA in einer Anwendung implementiert wird, hängt von verschiedenen Faktoren ab: dem Bedrohungsmodell der Anwendung, dem technischen Kenntnisstand der Benutzer und dem Grad der administrativen Kontrolle. Diese Aspekte müssen für jede Anwendung individuell bewertet werden. Allgemein empfehlen sich jedoch folgende Maßnahmen:
- Bieten Sie Benutzern die Möglichkeit, MFA per TOTP für ihre Konten zu aktivieren.
- Machen Sie MFA für administrative oder anderweitig hochprivilegierte Benutzer verpflichtend.
- Erwägen Sie, Unternehmens-IP-Bereiche von der MFA-Pflicht auszunehmen.
- Ermöglichen Sie es Benutzern, den Browser als vertrauenswürdig zu markieren, sodass nicht bei jeder Anmeldung ein zweiter Faktor abgefragt wird.
- Implementieren Sie einen sicheren Prozess, über den Benutzer ihre MFA zurücksetzen können.
Wann ist eine Mehrfaktorauthentifizierung erforderlich?
Der wichtigste Einsatzpunkt für MFA ist die Benutzeranmeldung. Je nach Funktionsumfang der Anwendung kann es jedoch auch sinnvoll sein, MFA für besonders sensible Aktionen zu verlangen, beispielsweise:
- Ändern von Passwörtern oder Sicherheitsfragen
- Ändern der mit dem Konto verknüpften E-Mail-Adresse
- Deaktivieren der Mehrfaktorauthentifizierung
- Hochstufen einer Benutzersitzung auf eine administrative Sitzung
Bietet Ihre Anwendung mehrere Authentifizierungswege, sollten alle MFA voraussetzen oder über gleichwertige Schutzmaßnahmen verfügen. Ein häufig übersehener Bereich ist dabei eine separate Login-API oder eine zugehörige mobile Anwendung.
Verbesserung der Benutzerfreundlichkeit
Häufige MFA-Abfragen belasten die Benutzer und können dazu führen, dass sie MFA in der Anwendung deaktivieren. Verschiedene Mechanismen helfen, diesen Aufwand zu reduzieren. Da diese Maßnahmen jedoch die Sicherheit verringern, ist eine Risikobewertung erforderlich, um die richtige Balance zwischen Sicherheit und Benutzerfreundlichkeit zu finden.
- Browser merken: Speichern Sie den Browser des Benutzers als vertrauenswürdig -- entweder dauerhaft oder für einen begrenzten Zeitraum. Verwenden Sie dafür nicht nur ein einfaches Cookie, das gestohlen werden könnte, sondern binden Sie zusätzlich den IP-Adressbereich ein.
- Unternehmens-IP-Bereiche: Erlauben Sie den Zugriff aus bekannten Firmennetzen ohne MFA (oder nutzen Sie den Standort als zweiten Faktor). Beachten Sie, dass dies nicht vor böswilligen Insidern oder kompromittierten Arbeitsplätzen schützt.
- MFA nur bei sensiblen Aktionen: Fordern Sie MFA nicht bei jedem Login, sondern nur bei besonders sicherheitskritischen Vorgängen.
MFA-Reset
Eine der größten Herausforderungen bei der MFA-Implementierung ist der Umgang mit Benutzern, die ihren zweiten Faktor verlieren oder nicht mehr darauf zugreifen können. Typische Szenarien sind:
- Neuinstallation eines Arbeitsplatzrechners ohne vorherige Sicherung digitaler Zertifikate
- Verlust oder Zurücksetzen eines Telefons ohne Backup der OTP-Codes
- Änderung der Mobilfunknummer
Um eine Aussperrung zu vermeiden, muss ein Wiederherstellungsmechanismus existieren, über den Benutzer Zugang zu ihrem Konto erlangen können. Gleichzeitig darf dieser Mechanismus es einem Angreifer nicht ermöglichen, die MFA zu umgehen und das Konto zu übernehmen.
Eine universell "beste Methode" gibt es hierfür nicht. Der geeignete Ansatz hängt stark vom Sicherheitsniveau der Anwendung und dem Grad der Kontrolle über die Benutzer ab. Lösungen, die in einem Unternehmensumfeld funktionieren, in dem sich alle Mitarbeitenden persönlich kennen, lassen sich nicht ohne Weiteres auf eine öffentliche Anwendung mit Tausenden von Benutzern weltweit übertragen. Jede Wiederherstellungsmethode hat eigene Vor- und Nachteile, die im jeweiligen Anwendungskontext abgewogen werden müssen.