Für ein bestmögliches Web-Erlebnis verwenden Sie IE11+, Chrome, Firefox oder Safari.
Home / Identity and Access Management 101 / Was ist Zwei-Faktor-Authentifizierung beim Identity and Access Management?

Was ist Zwei-Faktor-Authentifizierung beim Identity and Access Management?

Die Zwei-Faktor-Authentifizierung (2FA) ist eine Authentifizierungsmethode, die eine zusätzliche Sicherheitsebene für Benutzerkonten, Anwendungen und Netzwerke bietet. Sie wird auch als zweistufige Verifizierung bezeichnet.

Im Gegensatz zu Ein-Faktor- oder kennwortbasierten Systemen, bei denen die Benutzer nur nach ihrem Benutzernamen und ihrem Kennwort gefragt werden, muss der Benutzer bei der 2FA einen weiteren Verifizierungsfaktor angeben, um sich bei einem Konto oder System anzumelden. Auf diese Weise soll:

  • überprüft werden, ob ein Benutzer wirklich derjenige ist, der er vorgibt zu sein
  • das Risiko eines unbefugten Zugriffs verringert werden
  • Datensicherheitsverletzungen und Cyberangriffe verhindert werden

Wie funktioniert 2FA?

Bei 2FA-Systemen müssen Benutzer zwei Authentifizierungsfaktoren angeben, um auf eine Unternehmensressource zuzugreifen. Zusammengenommen identifizieren diese Faktoren einen Benutzer und nur diesen Benutzer eindeutig.
Zwei-Faktor-Authentifizierung

Bei diesen Faktoren kann es sich um eine beliebige Kombination handeln:

  1. Wissensfaktoren, d. h. etwas, das nur der Benutzer weiß:

    • Kennwort

    • PIN-Code

    • OTP-Code, den der Benutzer per SMS, E-Mail oder Sprachanruf erhält

    • Antwort auf eine Sicherheitsfrage

  2. Besitzfaktoren, d. h. etwas, das nur der Benutzer hat:

    • Smartcard

    • USB-Stick

    • Hardware-Token oder Key Fob

    • Software-Token

    • PKI-Zertifikat (Public Key Infrastructure)

  3. Inhärenzfaktoren, d. h. ein eindeutiges Merkmal des Benutzers – dabei handelt es sich in der Regel um ein biometrisches Merkmal, z. B.:

    • Fingerabdruck

    • Irisbild

    • Stimmmuster

    • Tippgewohnheiten

Warum ist 2FA sicherer als ein reines Kennwortsystem?

Seit Jahrzehnten verwenden Unternehmen auf der ganzen Welt Kennwörter, um ihre Systeme zu sichern und ihre Daten zu schützen. Doch Kennwörter reichen heute nicht mehr aus, um die Sicherheit zu gewährleisten. In einer kürzlich durchgeführten Umfrage äußerten 95 % der Befragten Sicherheitsbedenken in Bezug auf die mit Kennwörtern verbundenen Risiken.

Hacker können Kennwörter leicht stehlen oder kompromittieren, zumal die Benutzer sie oft an andere weitergeben oder an unsicheren Orten aufschreiben. Die durchschnittliche Person in den USA verwaltet außerdem 130 Konten, sodass die Verwendung desselben Kennworts für mehrere Konten ein weiteres häufiges Problem darstellt.

2FA bietet eine Schutzmaßnahme gegen diese Herausforderungen. In solchen Systemen müssen die Benutzer ihre Identität anhand von zwei Authentifizierungsfaktoren verifizieren. Der zusätzliche Faktor erschwert es Kriminellen, in ein Unternehmenssystem einzudringen, da sie sowohl das Kennwort stehlen als auch Zugriff auf den zweiten Faktor erhalten müssen.

Und wenn der Angreifer versucht, beide Authentifizierungsfaktoren zu fälschen, wird ein Sicherheitsereignis ausgelöst, um den Administrator über einen verdächtigen Anmeldeversuch zu informieren. Der Administrator kann dann sofort Maßnahmen ergreifen, um weitere Schäden zu verhindern.

Was sind die Vorteile von 2FA?

2FA bietet zahlreiche Vorteile gegenüber herkömmlichen kennwortbasierten Systemen:

Schutz von Assets und Daten vor Kennwortschwächen

Kennwörter können auf viele Arten missbraucht werden. Die meisten Menschen wählen beispielsweise leicht zu merkende Kennwörter wie „123456“, „iloveyou“ oder „password“, die von Angreifern mit Hilfe von Keylogger-Software oder durch Brute-Force-, Wörterbuch- oder Rainbow-Angriffe leicht erraten werden können. Sie können dann vorgeben, der Benutzer zu sein, und sich in dessen Konten einloggen, um Assets oder Daten zu kompromittieren. Wenn Benutzer Kennwörter für mehrere Anwendungen oder Konten wiederverwenden, kann ein Angreifer, der das Kennwort stiehlt, alle diese Konten mit einem Schlag kompromittieren.

Im Jahr 2020 wurden über 80 % der Cyberverletzungen durch gestohlene Kennwörter verursacht und 12 % betrafen den Missbrauch von Berechtigungen. 2FA erschwert Angreifern den Zugriff auf ein Konto und dessen Daten. Auf diese Weise kann sie dazu beitragen, Sicherheitsverletzungen und andere kennwortbezogene Cyberkriminalität zu verhindern.

Einsparungen durch Vermeidung von Datensicherheitsverletzungen

Die durchschnittlichen Kosten für eine einzige Datensicherheitsverletzung sind von 3,86 Millionen Dollar im Jahr 2020 auf 4,24 Millionen Dollar im Jahr 2021gestiegen. Die Kosten einer Sicherheitsverletzung aufgrund kompromittierter Anmeldeinformationen sind mit 4,37 Millionen US-Dollar sogar noch höher. 2FA kann Sicherheitsverletzungen verhindern und somit Unternehmen helfen, Geld zu sparen.

Sie können sogar noch mehr Geld sparen, indem sie die Anzahl der Anfragen zur Kennwortzurücksetzung reduzieren. Durchschnittlich 20 % bis 50 % aller Helpdesk-Anrufe betreffen die Kennwortzurücksetzung, und jede Rücksetzungsanfrage kostet Unternehmen 70 US-Dollar. Diese Kosten können sich mit der Zeit summieren. In 2FA-Systemen können Mitarbeiter ihre eigenen Kennwörter sicher zurücksetzen, indem sie den zusätzlichen Authentifizierungsfaktor nutzen, um ihre Identität bei einer Selfservice-Kennwortrücksetzung zu verifizieren. Die Implementierung eines Selfservice-Workflows zum Zurücksetzen von Kennwörtern reduziert die Anzahl derKennwortzurücksetzungsanfragen und spart dem Unternehmen langfristig Geld.

Abschwächung von Phishing-Angriffen

Im Jahr 2020 waren Phishing-Angriffe für 36 % der Datensicherheitsverletzungen verantwortlich. Auch diese Betrugsfälle haben sich im Laufe der Jahre weiterentwickelt. Während Angreifer nach wie vor schädliche Links oder Anhänge in E-Mails einfügen, verwenden sie jetzt auch neue Methoden wie polymorphe Scams, schädliche HTTPS-Seiten, Man-in-the-Middle-Phishing-Angriffe und Phishing-as-a-Service.

2FA schwächt die Phishing-Methoden der Angreifer. Selbst wenn ein Betrüger die Kennwörter eines Benutzers durch manipulierte E-Mails stehlen kann, kommt er nicht an die anderen, nicht E-Mail-basierten Authentifizierungsfaktoren heran, z. B. Einmalkennwörter (OTPs), die an das Mobiltelefon eines Benutzers gesendet werden. Dadurch wird verhindert, dass ein Angreifer das Konto des Benutzers kompromittiert.

Mehr Zeit für die Bekämpfung von Angriffen

Wenn ein Angreifer das Kennwort eines Benutzers ausspioniert, bleibt dem Unternehmen nur sehr wenig Zeit, um zu verhindern, dass er das Unternehmensnetzwerk hackt. Aber mit 2FA haben Sicherheitsteams selbst dann, wenn ein Benutzer seinen zweiten Faktor, z. B. ein mobiles Gerät, verliert, noch etwas Zeit, das Problem zu beheben, bevor der Angreifer zu viel Schaden anrichten kann.

Verbesserung der Benutzerproduktivität und Sicherheit in Remote-Umgebungen

Aufgrund der Coronapandemie arbeiten heute Millionen von Arbeitnehmern remote. Auf diese Weise können Unternehmen die Business Continuity aufrechterhalten, allerdings können dadurch auch Sicherheitslücken entstehen. Viele Mitarbeiter verwenden unsichere Geräte und offene WiFi-Netzwerke, um auf Unternehmensressourcen zuzugreifen. Dies ermöglicht Angreifern den Zugriff auf diese Ressourcen, insbesondere wenn sie kennwortbasiert sind.

Mit 2FA können Mitarbeiter von praktisch jedem Gerät und jedem Standort aus sicher auf Unternehmensnetzwerke, Anwendungen, Dokumente, Daten und andere Ressourcen zugreifen. Dies trägt zur Steigerung ihrer Produktivität bei, ohne die Sicherheit des Unternehmens zu gefährden.

Erfüllung von Kundenerwartungen

Ihre Kunden möchten ihre Online-Konten und -Daten schützen, insbesondere Konten, die mit finanziellen Transaktionen verbunden sind, z. B. bei Banken oder E-Commerce-Websites. Aus diesem Grund erwarten sie, dass Websites 2FA anbieten, und würden sich in der Regel immer für ein Unternehmen entscheiden, das 2FA anbietet, und nicht für eines, das dies nicht tut. Aus diesem Grund ist 2FA für jedes Unternehmen, das Endbenutzer bedient, von entscheidender Bedeutung.

Warum ist 2FA wichtig für die Zero-Trust-Sicherheit?

Zero Trust bedeutet, dass Unternehmen nicht automatisch jedem Benutzer oder Gerät vertrauen sollten, das versucht, auf ihre IT-Ressourcen zuzugreifen. Vielmehr sollten sie jeden Benutzer standardmäßig als Bedrohung behandeln. Zero Trust wurde entwickelt, um Unternehmen vor Bedrohungen zu schützen, Datensicherheitsverletzungen zu verhindern und die internen Seitwärtsbewegungen eines Angreifers innerhalb des Unternehmensnetzwerks einzuschränken.

2FA ist ein entscheidendes Element von Zero Trust, da es einen Benutzer nicht als „standardmäßig sicher“ akzeptiert. Vielmehr wird überprüft, ob der Benutzer, der auf ein Konto oder Daten zugreifen möchte, auch wirklich derjenige ist, der er vorgibt zu sein, bevor er Zugriff erhält. Durch die Integration von 2FA in ihre Anwendungen können Unternehmen Angreifer daran hindern, ihre Konten oder Daten erfolgreich zu kompromittieren.

Noch einfachere 2FA mit OneLogin

OneLogin bietet einen unkomplizierten cloudbasierten 2FA-Service. Bei der Nutzung dieses Services wird der Benutzer zunächst mit einem Benutzernamen und einem Kennwort authentifiziert. OneLogin prüft den Benutzer, um seine Anmeldeinformationen zu verifizieren. Wenn zusätzliche Authentifizierungsfaktoren erforderlich sind, wird der Benutzer aufgefordert, diese auf der Anmeldeseite einzugeben.

Der Benutzer muss lediglich die YubiKey-Taste drücken, die das generierte OTP direkt in das Eingabefeld des Browsers sendet, wodurch das umständliche und fehleranfällige Eintippen entfällt. OneLogin validiert dann, dass:

  • der YubiKey dem autorisierten Benutzer gehört, der auf das Konto zugreift
  • der eingegebene Code zuvor noch nicht verwendet wurde

Was ist der Unterschied zwischen 2FA und MFA?

2FA ist ein Teilbereich der Multi-Faktor-Authentifizierung (MFA). Bei MFA-basierten Systemen müssen Benutzer zwei oder mehr Authentifizierungsfaktoren angeben, um auf ein Unternehmensnetzwerk, eine Anwendung, ein Online-Konto, ein VPN usw. zuzugreifen. Bei 2FA-Systemen müssen die Benutzer genau zwei solcher Faktoren angeben.

Fazit

Unternehmen jeder Größe haben inzwischen erkannt, dass Kennwörter allein nicht ausreichen, um ihre Benutzerkonten und Daten zu schützen. Um die Bedrohung durch gestohlene Kennwörter, Keylogger, Kontoübernahmeversuche und Angriffe wie Social Engineering, Phishing und Brute-Force zu verringern, setzen viele Unternehmen 2FA-Systeme ein.

Einige ziehen es vor, MFA einzuführen, um ihre Sicherheit mit noch mehr starken Authentifizierungsfaktoren zu verstärken. Ein modernes MFA-System wie OneLogin bietet „adaptive, richtlinienbasierte MFA“, um unbefugten Zugriff zu verhindern und Ihr IAM-Programm zu stärken.

Sie können sich entweder für 2FA oder MFA entscheiden, um die Assets Ihres Unternehmens vor böswilligen Akteuren zu schützen. Unabhängig davon, wofür Sie sich entscheiden, bieten beide Systeme eine solidere und zuverlässigere Sicherheit als Systeme mit nur einem Faktor/Kennwort.

Die OneLogin Access Management-Lösung in der Praxis

Melden Sie sich an, um eine Demo-on-Demand vom Marktführer im Bereich Access Management anzusehen. Sie erfahren darin, wie Ihr Unternehmen Zeit sparen und die Ressourcenzuweisung optimieren kann.
Kostenlos testen