Muss Multi-Faktor-Authentifizierung wirklich kompliziert sein?

Um zu verstehen, wie sich Multi-Faktor-Authentifizierung verändert, sollten wir uns kurz anschauen, was MFA eigentlich ist.

Bei MFA müssen sich Nutzer mit zwei oder mehr „Faktoren“ authentifizieren, wenn sie auf Applikationen, Netzwerke und Ressourcen zugreifen. MFA-Implementierungen nutzen Kombinationen der folgenden Faktoren:

  • Etwas, das der Anwender weiß: Username, Passwort, PIN oder die Antwort einer Sicherheitsfrage;
  • Etwas, das nur der Anwender selbst besitzt: ein Smartphone, einen einmaligen Pass-Token oder eine Smartcard;
  • Etwas, das nur den Anwender selbst identifiziert: Biometrische Daten wie Stimmerkennung, Fingerabdruck- oder Netzhautscan.

MFA-Everywhere-620x391

In der heutigen IT-Welt ist jedoch eine einfache „Username plus Passwort“-Authentifizierung nicht ausreichend, um Firmen vor den immer häufiger werdenden hochentwickelten Cyberangriffen zu schützen. Implementieren Unternehmen hingegen MFA für Endanwender und privilegierte Nutzer sowie für Cloud- und On-Premise-Applikationen, Server, Datenbänke, VPNs und andere Ressourcen, verhindern sie Cyberangriffe über alle Angriffspunkte hinweg. Dies schützt vor Datendiebstählen, die durch kompromittierte Zugangsdaten verursacht werden.

Um Datendiebstähle zu umgehen haben viele Firmen einen zweiten Faktor eingeführt – eine RSA Secure ID, ein Symantec VIP oder ähnliche Tokens. Das Lästige an diesen Tokens ist, dass die Authentifizierung fehlschlägt, wenn der angezeigte Code nicht schnell genug eingegeben wird. Auch hat der Anwender ihn oft gerade in dem Moment, in dem er gebraucht wird, nicht dabei. Er liegt im Auto, zu Hause oder gar bei den Schwiegereltern, die man am Wochenende besucht hat. Oder er ist unbemerkt verloren gegangen, da die IT Abteilung festgelegt hat, dass er nur einmal im Monat gebraucht wird. Oder, oder, oder… . Wir kennen das. Jedoch stellt sich die Frage: „Muss es so schwierig sein? Gibt es keinen besseren Weg?“ Meiner Meinung nach gibt es den.

mfa-phone-1-251x300

Ich lehne mich nicht zu weit aus dem Fenster, wenn ich behaupte, dass jeder, der MFA mit One-Time-Password (OTP) zur Authentifizierung nutzt, ein mobiles Endgerät zur Verfügung hat – höchstwahrscheinlich ein Smartphone mit Android oder iOS.

Dank mobiler Push-Nachrichten, Freigaben via SMS und weiteren Möglichkeiten kann bei Authentifizierungen mehr als nur Username und Passwort-Abfrage angeboten werden. Um ehrlich zu sein: Sein eigenes Handy lässt man nicht so schnell irgendwo liegen. Und wenn doch, fällt es einem sehr schnell auf.

Der zweite und viel wichtigere Vorteil ist, dass der Anwender mit mobilen Push-Nachrichten für eine OTP MFA keinen lästigen Code mehr eingeben muss. Stattdessen klickt der Nutzer auf ein großes grünes „Akzeptieren“ und – voila – ist eingeloggt. Dieses nutzerfreundliche Vorgehen vereinfacht die Implementierung höherer Sicherheitsstandards beim Zugriff auf Applikationen und Ressourcen.

  1. Warum benutzen es nicht alle? Ist der Preis für eine zuverlässigen IAM-Lösung, die mit verschiedenen Mitteln MFA unterstützt, wirklich teurer als gehackt zu werden? Die Kosten eines Hacks belaufen sich teilweise auf einige Millionen.
  2. Warum werden statische Passwörter nicht vollkommen abgeschafft und stets OTP genutzt?

Beim zweiten Punkt werden jetzt Viele fragen: „Aber was ist, wenn ich mein Smartphone verliere?“ Wenn man sein Smartphone verliert, kann man sich nicht anmelden, da ein MFA-Tool fehlt. Jedoch kann es auch niemand anderes, da:

  1. Smartphones mit PIN geschützt sind bzw. sein sollten;
  2. Man schnell sein Smartphone sperren lassen kann, wenn man feststellt, dass es verloren gegangen ist;
  3. Und, wie hoch stehen die Chancen, dass die Person, die das Smartphone findet, auch den Usernamen weiß?

Skeptiker werden fragen, ob es überhaupt sicher genug ist, mobile Endgeräte als MFA-Tokens einzusetzen. Sind sie sicherer als dedizierte Tokens? Nutzt man eine IAM-Lösung mit einem integrierten Mobile-Device-Management (MDM), das einem die Verwaltung von sowohl Firmenhandys als auch BYOD-Geräten ermöglicht, ist der Schutz der Identitäten und Ressourcen einfacher: verlorengegangene Geräte können geortet, gesperrt und formatiert werden. Zudem hat dies den Vorteil, dass die Implementierung einfach von statten geht und für die Anwender bequem ist. Meiner Meinung nach sind sie sogar etwas sicherer, da die Anwender durch die Nutzerfreundlichkeit die Sicherheitsrichtlinien eher umsetzen. AppleWatchMFA-215x300

Zusammenfassend: Jeder hat immer sein Smartphone bei sich. Wir nutzen es heutzutage teilweise als Geldbeutel oder Türöffner. Warum nicht also all die verschiedenen Tokens loswerden und das Smartphone als OTP-Token nutzen? Das wäre doch klasse. Solange wir an Username und Passwort festhalten, sollten wir alle Endanwender, privilegierten Nutzer, Applikationen, Server, Netzwerkgeräte, Datenbanken und Ressourcen mit MFA absichern.

Ihr Alexander Kehl