Die Sicherheit unserer digitalen Identität ist heute wichtiger denn je. Cyberangriffe sind an der Tagesordnung, und schwache Passwörter allein bieten keinen ausreichenden Schutz mehr. In diesem Blogbeitrag werden wir einen genaueren Blick auf die Multi-Faktor-Authentifizierung (MFA und warum sie zu einer unverzichtbaren Komponente im Bereich Identity und Access Management (IAM) geworden ist.
Was ist Multi-Faktor-Authentifizierung (MFA)
MFA ist eine Authentifizierungsmethode, bei der Benutzer zwei oder mehr Verifizierungsfaktoren bereitstellen müssen, um Zugang zu einer Ressource wie einer Anwendung, einem Online-Konto oder einem VPN zu erhalten. Im Vergleich zu herkömmlichen Benutzername-Passwort-Kombinationen bietet die Multi-Faktor-Authentifizierung eine robuste Sicherheit, da mehrere Überprüfungsschritte erforderlich sind. Eine MFA kann wie folgt aussehen:
Schritt 1: Benutzername und Passwort eingeben
Schritt 2: PIN einer Handy-App verifizieren
Schritt 3: Fingerabdruck scannen
Warum ist MFA wichtig?
Der Hauptvorteil von MFA liegt in der erhöhten Sicherheit. Herkömmliche Anmeldeinformationen sind anfällig für Brute-Force-Angriffe und Diebstahl durch Dritte. Durch die Integration zusätzlicher Faktoren wie biometrische Daten wird die Sicherheit erheblich gesteigert.
Wie funktioniert MFA?
MFA funktioniert, indem zusätzliche Überprüfungsinformationen (Faktoren) angefordert werden. Ein häufig genutzter Faktor sind Einmalkennwörter, auch One-Time Password (OTP) genannt. Diese Einmalpasswörter können über verschiedene Kanäle wie E-Mail, SMS oder mobile Apps empfangen werden. Die Codes, die dafür generiert werden, ändern sich in regelmäßigen Abständen und basieren auf einem Startwert und einem zusätzlichen Faktor wie einem fortlaufenden Zähler oder einem Zeitwert.
Hauptmethoden von MFA-Authentifizierungsmethoden
Die MFA-Authentifizierungsmethoden basieren auf einen von drei Hauptmethoden:
Wissen, zum Beispiel Passwort, PIN oder Sicherheitsfrage
Besitz, zum Beispiel Smartphone oder Ausweis
Inhärenz, zum Beispiel biometrische Daten wie Fingerabdrücke oder Stimmerkennung
Da die Multi-Faktor-Authentifizierung Technologien wie Maschinelles Lernen und Künstliche Intelligenz verwendet, werden auch die Authentifizierungsmethoden immer ausgefeilter.
Standortbasierte Authentifizierung
Bei der Authentifizierung auf Grundlage des Standorts werden üblicherweise die IP-Adressen des Benutzers sowie, wenn möglich, sein geografischer Standort überprüft. Diese Informationen können dazu dienen, den Zugang eines Benutzers zu blockieren, wenn seine Standortdaten nicht mit den Angaben auf einer Positivliste übereinstimmen. Alternativ können sie als zusätzliche Authentifizierungsform neben anderen Faktoren wie Passwort oder Einmalkennwörter eingesetzt werden, um die Identität des Benutzers zu bestätigen.
Adaptive oder risikobasierte Authentifizierung
Als eine Unterkategorie der MFA analysiert die adaptive Authentifizierung zusätzliche Faktoren, indem sie den Kontext und das Verhalten während der Authentifizierung berücksichtigt. Diese Werte werden häufig genutzt, um dem Anmeldeversuch eine Risikostufe zuzuweisen.
Um die Risikostufe zu berechnen, wird der Standort und der Zeitpunkt des Zugriffes, die Art des verwendeten Geräts und die Art der Netzwerkverbindung (privat oder öffentlich) berücksichtigt. Umso höher die Risikostufe, desto größer ist auch die Wahrscheinlichkeit, dass der User aufgefordert wird, einen zusätzlichen Authentifizierungsfaktor einzugeben. Ist das Risiko zu groß, so kann der Anmeldeversuch auch gänzlich abgewiesen werden.
Durch die adaptive Authentifizierung könnte ein Benutzer, der sich zu ungewöhnlichen Zeiten oder von untypischen Orten aus anmelden möchte, beispielsweise dazu aufgefordert werden, neben Benutzername und Passwort einen per SMS zugesandten Code einzugeben. Hingegen wird ein täglicher Login vom Büro aus möglicherweise nur die Eingabe von Benutzername und Passwort erfordern.
Unterschied zwischen Multi-Faktor-Authentifizierung und Zwei-Faktor-Authentifizierung
MFA wird oft synonym mit der Zwei-Faktor-Authentifizierung (2FA) verwendet. 2FA ist im Wesentlichen ein Teilaspekt von MFA, da es die Anzahl der erforderlichen Faktoren auf zwei beschränkt, während MFA zwei oder mehr Faktoren umfassen kann.
MFA im Cloud Computing
Mit der zunehmenden Verlagerung von Systemen in die Cloud ist MFA wichtiger denn je. Die traditionelle Sicherheit, die auf der physischen Nähe zum Netzwerk beruht, ist nicht mehr ausreichend. Multi-Faktor-Authentifizierung bietet zusätzliche Sicherheitsvorkehrungen, um sicherzustellen, dass Benutzer, die von verschiedenen Orten aus zugreifen, tatsächlich diejenigen sind, für die sie sich ausgeben.
MFA für Office 365
In cloudbasierten Systemen wie Office 365 ist die Multi-Faktor-Authentifizierung besonders relevant. Office 365 verwendet standardmäßig Azure Active Directory (AD) für die Authentifizierung und bietet verschiedene Optionen wie Microsoft Authenticator, SMS, Sprache und Oauth Token.