Was ist Multi-Faktor-Authentifizierung (MFA) und wie funktioniert sie?

Multi-Faktor-Authentifizierung (MFA) ist eine Authentifizierungsmethode, bei der der Benutzer zwei oder mehr Verifizierungsfaktoren angeben muss, um Zugang zu einer Ressource wie einer Anwendung, einem Online-Konto oder einem VPN zu erhalten. MFA ist eine Kernkomponente einer starken Richtlinie für Identity and Access Management (IAM). Anstatt nur nach einem Benutzernamen und einem Kennwort zu fragen, erfordert MFA einen oder mehrere zusätzliche Überprüfungsfaktoren, wodurch die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs sinkt.

Der Hauptvorteil der MFA ist, dass sie die Sicherheit Ihres Unternehmens erhöht, da sich Ihre Benutzer nicht nur mit einem Benutzernamen und einem Kennwort identifizieren müssen. Benutzernamen und Kennwörter sind zwar wichtig, aber sie sind anfällig für Brute-Force-Angriffe und können von Dritten gestohlen werden. Die Verwendung eines MFA-Faktors wie eines Daumenabdrucks oder eines physischen Hardwareschlüssels erhöht das Vertrauen, dass Ihr Unternehmen vor Cyberkriminellen sicher ist.

MFA funktioniert, indem zusätzliche Überprüfungsinformationen (Faktoren) verlangt werden. Einer der am häufigsten genutzten MFA-Faktoren sind Einmalkennwörter (One-Time Passwords, OTP). OTPs sind 4- bis 8-stellige Codes, die Sie oft per E-Mail, SMS oder über eine mobile App erhalten. In bestimmten Abständen oder bei jeder Authentifizierungsanfrage wird ein neuer Code generiert. Diese Generierung basiert auf einem Startwert, der dem Benutzer bei der ersten Registrierung zugewiesen wird, und einem anderen Faktor, der ein fortlaufender Zähler oder ein Zeitwert sein kann.

Die meisten MFA-Authentifizierungsmethoden beruhen auf einer von drei Arten von Zusatzinformationen:

1. Dinge, die Sie wissen (Wissen), z. B. ein Kennwort oder eine PIN
2. Dinge, die Sie haben (Besitz), z. B. ein Ausweis oder ein Smartphone
3. Dinge, die Sie ausmachen (Inhärenz), z. B. biometrische Daten wie Fingerabdrücke oder Stimmerkennung

Beispiele für die Multi-Faktor-Authentifizierung sind etwa eine Kombination dieser Elemente zur Authentifizierung:

Wissen

• Antworten auf persönliche Sicherheitsfragen
• Kennwort
• OTPs (können sowohl Wissen als auch Besitz sein – Sie kennen das OTP und müssen etwas in Ihrem Besitz haben, um es abzurufen, z. B. Ihr Telefon)

Besitz

• Von Smartphone-Apps generierte OTPs
• Per SMS oder E-Mail gesendete OTPs
• Zugangsausweise, USB-Geräte, Smart Cards, Anhänger oder Sicherheitsschlüssel
• Software-Tokens und Zertifikate

Inhärenz

• Fingerabdrücke, Gesichtserkennung, Stimme, Netzhaut- oder Iris-Scan oder andere biometrische Daten
• Verhaltensanalyse

Da MFA maschinelles Lernen und künstliche Intelligenz (KI) integriert, werden die Authentifizierungsmethoden immer ausgefeilter und können Folgendes einschließen:

Standortbezogene Authentifizierung

Bei der standortbasierten MFA werden in der Regel die IP-Adresse des Benutzers und, falls möglich, sein geografischer Standort überprüft. Diese Informationen können verwendet werden, um den Zugriff eines Benutzers zu sperren, wenn seine Standortinformationen nicht mit den Angaben auf einer Positivliste übereinstimmen, oder sie können als zusätzliche Form der Authentifizierung neben anderen Faktoren wie einem Kennwort oder OTP verwendet werden, um die Identität des Benutzers zu bestätigen.

Adaptive oder risikobasierte Authentifizierung

Eine weitere Untergruppe der MFA ist die adaptive Authentifizierung, die auch als risikobasierte Authentifizierung bezeichnet wird. Die adaptive Authentifizierung analysiert zusätzliche Faktoren, indem sie den Kontext und das Verhalten bei der Authentifizierung berücksichtigt, und verwendet diese Werte häufig, um dem Anmeldeversuch eine Risikostufe zuzuweisen. Beispiel:

• Wo befindet sich der Benutzer, wenn er versucht, auf Informationen zuzugreifen?
• Wann versucht er, auf Unternehmensinformationen zuzugreifen? Während der normalen Arbeitszeit oder zu anderen Zeiten?
• Welche Art von Gerät wird verwendet? Ist es dasselbe, das gestern verwendet wurde?
• Erfolgt die Verbindung über ein privates oder ein öffentliches Netzwerk?

Die Risikostufe wird auf Grundlage der Antworten auf diese Fragen berechnet. So lässt sich bestimmen, ob ein Benutzer zur Eingabe eines zusätzlichen Authentifizierungsfaktors aufgefordert wird oder ob er sich überhaupt anmelden darf oder nicht. Ein anderer Begriff für diese Methode ist daher „risikobasierte Authentifizierung“.

Mit der adaptiven Authentifizierung könnte ein Benutzer, der sich spätabends von einem Café aus anmeldet, was er normalerweise nicht tut, aufgefordert werden, zusätzlich zur Eingabe seines Benutzernamens und seines Kennworts einen Code einzugeben, der ihm per SMS auf sein Telefon geschickt wird. Wenn er sich hingegen jeden Tag um 9 Uhr vom Büro aus anmeldet, wird er lediglich aufgefordert, seinen Benutzernamen und sein Kennwort einzugeben.

Cyberkriminelle verwenden oftmals ihre gesamte Energie auf das Stehlen Ihrer Daten. Eine effektive und durchgesetzte MFA-Strategie ist Ihre erste Verteidigungslinie dagegen. Ein effektiver Datensicherheitsplan wird Ihrem Unternehmen in Zukunft Zeit und Geld sparen.

MFA wird häufig synonym mit der Zwei-Faktor-Authentifizierung (2FA) verwendet. 2FA ist im Grunde ein Teilbereich der MFA, da 2FA die Anzahl der erforderlichen Faktoren auf zwei beschränkt, während MFA zwei oder mehr Faktoren umfassen kann.

Mit dem Aufkommen des Cloud-Computing ist MFA noch notwendiger geworden. Da Unternehmen ihre Systeme in die Cloud verlagern, können sie sich nicht mehr auf den Sicherheitsfaktor verlassen, dass sich ein Benutzer physisch im selben Netzwerk befindet wie das System, auf das er zugreift. Es müssen zusätzliche Sicherheitsvorkehrungen getroffen werden, um sicherzustellen, dass es sich bei denjenigen, die auf die Systeme zugreifen, nicht um Angreifer handelt. Da Benutzer jederzeit und von jedem Ort aus auf diese Systeme zugreifen, kann MFA dazu beitragen, sicherzustellen, dass sie die sind, für die sie sich ausgeben, indem zusätzliche Authentifizierungsfaktoren abgefragt werden, die für Hacker nicht so einfach zu imitieren oder mit Brute-Force-Methoden schwieriger zu knacken sind.

Viele cloudbasierte Systeme bieten ihre eigenen MFA-Angebote an, darunter AWS oder Office 365. Office 365 verwendet standardmäßig Azure Active Directory (AD) als Authentifizierungssystem. Dabei gibt es jedoch ein paar Einschränkungen. Sie haben zum Beispiel nur vier grundlegende Optionen, wenn es darum geht, welche Art von zusätzlichem Authentifizierungsfaktor sie verwenden können: Microsoft Authenticator, SMS, Sprache und Oauth Token. Möglicherweise müssen Sie auch mehr für die Lizenzierung ausgeben, je nachdem, welche Arten von Optionen Sie zur Verfügung haben möchten und ob Sie genau kontrollieren möchten, welche Benutzer MFA verwenden müssen.

Lösungen für Identity-as-a-Service (IDaaS) wie OneLogin bieten eine wesentlich höhere Anzahl an MFA-Authentifizierungsmethoden und sie lassen sich leichter in Anwendungen außerhalb des Microsoft-Ökosystems integrieren.