top of page

Security Pilot Weekend Briefing Nr. 14 - Multi-Faktor-Authentifizierung (MFA)


Die Absicherung von Systemzugängen ist essenziell, um einen hohen Sicherheitsstandard zu gewährleisten. Benutzername und Passwort allein bieten keinen ausreichenden Schutz vor Hackern, deshalb gilt aktuell die Multi-Faktor-Authentifizierung als Standard für die Absicherung von Zugängen.


Multi-Faktor-Authentifizierung (MFA)


Was zeichnet MFA aus und weshalb ist es besser als Nutzername + Passwort?

MFA, teilweise auch 2FA (Zwei-Faktor-Authentifizierung) bezeichnet, ist der nächste Schritt zur wirkungsvolleren Absicherung von Zugängen.

Bisher waren Nutzername und Passwort ausreichend, um sich an einem System zu authentifizieren.

Authentifizieren meint den Beweis der Identität. Dabei gibt man einen (möglichst individuellen) Nutzernamen an und beweist, dass man der Besitzer des Namens ist, indem man das dazugehörige Passwort eingibt.

Die Authentifizierung erfolgt also auf Basis von "Wissen", dem Wissen über einen Nutzernamen und dem dazugehörigen Passwort.

Beide Informationen könnten relativ leicht ausgespäht, rückverfolgt oder anderweitig gehackt werden.

Um die Authentifizierung sicherer zu machen, wurde daher dem "Wissen" noch der Faktor "Haben" hinzugefügt, in dem Sinne, dass man etwas besitzen muss, um seine Identität nachzuweisen. Im realen Leben wäre dies beispielsweise der Personalausweis, in digitalen Bereich ist es z.B. ein Security Token.

Die Alternative zu "Haben" wäre das "Sein", "Sein" bezieht sich auf personenbezogene biometrische Merkmale.


Während Nutzername und Passwort digital gestohlen werden können, ist für den zweiten Faktor ein physischer Zugriff erforderlich, was es dem Angreifer erschweren soll, an diesen Faktor zu kommen.




Welche Arten von MFA gibt es?

Faktor "Wissen":

  • IP-basierte Einschränkung (z.B. Zugang nur aus einem bestimmten Adressbereich)

  • Geobasierte Einschränkungen (z.B. Zugang nur aus Deutschland)

  • zeitliche Einschränkungen (z.B. Zugang nur von 8-18Uhr)

usw.


Faktor "Haben":

  • Smartphone, auf welchen beispielsweise SMS empfangen werden können (z.B. TAN-Verfahren)

  • Smartphone mit Authenticator-App (Google Authenticator, Microsoft Authenticator und weitere)

  • Security Key (z.B. Yubikey)

  • Smartcard (oftmals in Form von Zugangskarten für Gebäude oder mit Bezahlfunktion für die Kantine)

und viele Variationen der o.g. Methoden


Faktor "Sein":

  • Fingerabdruck (auf Smartphone oder an einem Terminal)

  • Irisscanner (z.B. an Terminals)

  • Gesichtserkennung (auf Smartphone oder auch an Flughäfen)

  • Spracherkennung (oft in Hochsicherheitsbereichen an Zugangsterminals)

  • Handflächenerkennung (Abtasten der gesamten Handfläche)

usw.


Welche Anforderungen werden an MFA gestellt?

Die Auswahl eines geeigneten Verfahrens und zusätzlichen Sicherheitsfaktors hängt von dem individuellen Sicherheitsbedürfnis und den für die Absicherung bereitgestellten Mittel ab. Außerdem müssen Dinge berücksichtigt werden, wie, dass nicht jeder bereit ist, seine biometrischen Merkmale zu verwenden.

Es ist generell sinnvoll, sich für eine Vielzahl an Methoden zu entscheiden, um eine Vielzahl an Verfahren und Prozessen zu unterstützen.


Generell gilt, dass der zusätzliche Faktor sicher sein muss, nicht einfach nachgestellt (z.B. kopiert) werden darf und möglichst nicht offensichtlich ist, um nicht direkt in den Fokus von Dieben zu geraten.

Außerdem muss die Infrastruktur berücksichtigt werden, einige System benötigen spezielle Treiber, z.B. für Lesegeräte, welche von den eingesetzten Betriebssystemen unterstützt werden müssen.


Auch ist der Wartungsaufwand teilweise nicht ohne, daher muss sichergestellt sein, dass eine Möglichkeit bereitsteht, Faktoren zu ersetzen, ohne den Zugang komplett zu verlieren. Im Optimalfall ist stets eine Backup-Lösung zwingend erforderlich.

Beispielsweise ist der übliche Faktor das Smartphone, während im Verlustfall oder bei Defekt noch ein Security-Key in der Schublade vorhanden ist.


Wie kann eine Absicherung mittels MFA realisiert werden?

Neben der nativen Unterstützung durch diverse Apps und bieten vor allem auch Webdienste und Web-Applikationen, wie z.B. Microsoft Azure und MS365 mittels Microsoft Authenticator App auf dem Smartphone die Unterstützung von MFA an.

Banken nutzen oft die Absicherung einer Transaktion mittels SMS-TAN oder mittels ihrer eigenen Banking-App an. Beide sind jeweils der zweite Faktor.


Viele Applikationen bieten den FIDO-Standard an und unterstützen damit Security Token.

Weiters bieten einige Anbieter an, die Authentifizierung zu übernehmen, so kann ein Dienst z.B. die Authentifizierung von Amazon nutzen, um seine Nutzer zu authentifizieren, ohne ein eigenes System aufbauen zu müssen, er benötigt nur die dafür erforderlichen Schnittstellen und zahlt dafür die entsprechenden Gebühren.

Diese Drittanbieter-Authentifizierung wird durch viele Anbieter bereitgestellt (bspw. Facebook, Google, Microsoft, etc.).

Hier spart man sich den Aufbau einer eigenen Infrastruktur.


Weitere Möglichkeiten der Realisierung sind der Aufbau einer eigenen PKI (Public Key Infrastruktur), z.B. für die Nutzung von Zertifikaten auf Smartphone oder Smartcards oder die Nutzung von speziellen Identitätsdienstleistern, wie beispielsweise OKTA.


Am Ende ist es immer eine Abwägung zwischen Abhängigkeit, Kosten und dem eigenen Sicherheitsbedürfnis.


Meine Erfahrungen mit MFA


Ich nutze neben den bereits genannten Faktoren wie Authenticator App auf dem Smartphone und Security Tokens gern die Funktionen meines Passwortmanagers Heylogin.

Heylogin selbst bedient sich zur Absicherung einer Multi-Faktor-Authentifizierung, z.B. durch PIN/Passwort oder Biometrie. Erst damit kann ich die Zugangsdaten freischalten, somit ist der Zugriff auf die Zugangsdaten quasi durch MFA abgesichert, was mittelbar ebenfalls einer Multi-Faktor-Authentifizierung gleichkommt.

So lässt sich MFA sogar realisieren, wenn durch die Applikation oder den Dienst nicht nativ unterstützt. Eine, wie ich finde, praktische Zusatzfunktion.


Ich habe auch bereits Authenticator-Apps gewechselt, dies war überhaupt kein Problem. Einzig kritisch finde ich, dass diese Apps meistens mit einem Account verknüpft sind - und verliere ich diesen Account, verliere ich auch alle Informationen darin und somit auch den Zugang auf die App.

Sperrt mit Google also kein Konto, könnte der Zugriff auf die Google Authenticator-App nicht mehr funktionieren. Ich weiß nicht, wie oft so etwas passiert, aber ich habe schon davon gelesen. Natürlich muss man diese Apps nicht zwangsläufig mit einem Konto verbinden, aber man sollte stets dafür sorgen, dass man eine Alternative hat, denn ansonsten sperrt man sich, wenn das Telefon nicht verfügbar oder defekt ist, selbst aus und die Chance, das wiederherzustellen ist oft sehr gering.


Fazit


MFA sollte überall eingesetzt werden und bei Zugang "von außen" der Standardsein. Das Passwort als einzige Absicherung hat ausgedient.

Webdienste sollten stets die MFA abgesichert sein, dies muss immer eine Mindestanforderung sein.

Kritische Dienste und Daten sollten niemals ohne MFA erreichbar sein.

Ein Passwortmanager wie Heylogin (da ohne Masterpasswort), kann die Absicherung ergänzen, da ebenfalls MFA-tauglich, wenn keine native Lösung vorhanden ist oder eine passende Lösung gefunden werden kann.


Der Beitrag hat Euer Interesse geweckt?

Bei der BLUE HELI InfoSec GmbH & Co. KG bieten wir über natürlich auch Beratung zu diesem Thema an - außerdem als Heylogin-Partner den direkten Zugang zu dieser Form von MFA.

Das klingt interessant?


Dann komm auf mich zu!

2 Ansichten0 Kommentare

Kommentare

Mit 0 von 5 Sternen bewertet.
Noch keine Ratings

Rating hinzufügen
bottom of page