Multi-Faktor-Authentifizierung
Was ist Multi-Faktor-Authentifizierung (MFA)?
Multi-Faktor-Authentifizierung (MFA) nutzt die Kombination von zwei oder mehr Nachweisen für die Prüfung der Identität.
Dadurch wird die Sicherheit von Anmeldeverfahren deutlich erhöht und somit der Identitätsdiebstahl stark erschwert.
Mithilfe dieser Authentifizierung lassen sich Anmeldeverfahren absichern und Transaktionen verifizieren.
Vergleicht man MFA mit Authentifizierungsverfahren, die nur ein Merkmal verwenden, wie beispielsweise die Anmeldung mit Usererkennung und Passwort, wird die Chance von einem Identitätsdiebstahl bei der MFA deutlich gesenkt.
Die Faktoren, welche bei der Multi-Faktor-Authentifizierung verwendet werden, basieren auf biometrischen Merkmalen, speziellem Wissen oder einem mitgeführten Gegenstand und sind voneinander unabhängig.
Warum ist MFA wichtig?
Ein wesentlicher Vorteil der MFA ist, dass Benutzer beim Zugriff auf Anwendungen neben ihrem Benutzernamen und Kennwort weitere Identitätsnachweise erbringen müssen.
Dadurch steigt die Sicherheit für das Unternehmen oder für die Organisation erheblich.
Die alleinige Verwendung von der Kombination aus Benutzername und Kennwort ohne weitere abgefragte Merkmale für die Authentifizierung bietet zwar einen gewissen Schutz, ist jedoch viel stärker anfällig für Brute-Force-Angriffe.
Außerdem können die Zugangsdaten bei einer einfachen Authentifizierung von Dritten ausgespäht werden.
Werden aber beim Login zusätzlich ein Daumenabdruck oder ein physischer Hardwareschlüssel zur Verifizierung benötigt, fällt es den Cyberkriminellen deutlich schwerer, auf die vertraulichen Daten und Anwendungen des Anwenders zuzugreifen.
Welche Klassen von Faktoren werden für MFA genutzt?
Man kann die Berechtigungshinweise (Faktoren), welche bei der Multi-Faktor-Authentifizierung zur Anwendung kommen, grundsätzlich in drei verschiedenen Kategorien einteilen.
An dieser Stelle sind zu nennen:
Physische Besitzobjekte, wie ein Token oder eine Magnetkarte
Eindeutige physische Merkmale oder biometrische Daten, wie der Fingerabdruck, die Stimme oder das Muster der Iris
Geheimes Wissen, wie ein Passwort oder ein PIN
Physische Besitzobjekte
Bei physischen Besitzobjekten spricht man von Gegenständen, welche im Besitz der Person sind, die sich authentifizieren möchte.
Es handelt sich dabei beispielsweise um Schlüssel, Magnetkarten, Token oder das Mobiltelefon mit seiner eindeutigen Rufnummer.
Die Person muss diesen Gegenstand dann immer mit sich führen, da dieser bei der Anmeldung zusätzlich zu einem oder mehreren anderen Faktoren vorzulegen ist.
Physische Merkmale
In den meisten Fällen werden biometrische Daten als physische Merkmale verwendet.
Eindeutige physische Merkmale sind mit der Identität des Anwenders verknüpft und damit unverwechselbar.
Wichtig dabei ist, dass sie fälschungssicher sind und Systeme wie Scanner diese Merkmale eindeutig ermitteln können.
Die am meisten verwendeten Systeme zur Erkennung von biometrischen Merkmalen sind der Fingerabdruck, Augen-Iris-Scanner oder Stimmerkennungssysteme.
Geschütztes Wissen
Am häufigsten kommt das geheime Wissen als Faktor im Authentifizierungsverfahren vor.
Einige Verfahren, wie die Ein-Faktor-Authentifizierung, nutzen lediglich geheimes Wissen für die Anmeldung an einem System oder die Absicherung einer Transaktion.
Beispiele für solch ein Wissen sind Passwörter, PINs oder Antworten auf Sicherheitsfragen.
Dieses Wissen darf nur dem Anwender bekannt sein und sollte nicht zu erraten oder durch Ausprobieren zu ermitteln sein.
Weitere Arten der MFA
Heutzutage werden in der MFA auch maschinelles lernen und künstliche Intelligenzen integriert. Daher werden ausgeklügelte Authentifizierungsmethoden möglich:
Adaptive oder risikobasierte Authentifizierung
Die adaptive oder risikobasierte Authentifizierung fällt auch unter die MFA-Kategorie.
In diesem Verfahren werden bei der Authentifizierung der Kontext und das Benutzerverhalten analysiert. Diese Daten werden dann als zusätzlichen Faktor verwendet, um das mit dem Zugriffsversuch verbundene Risiko einzustufen.
Dabei wird beispielsweise geprüft:
Wann findet der Zugriffsversuch statt?
Während der üblichen Arbeitszeiten oder nach Feierabend?
Von wo aus versucht der Benutzer auf die Anwendungen oder Daten zuzugreifen?
Welches Gerät wird für den Zugriffsversuch verwendet?
Dasselbe Gerät wie am Vortag?
Wird die Verbindung über ein privates oder ein öffentliches Netzwerk hergestellt?
Anhand der Antworten auf diese Fragen wird dann eine Risikostufe berechnet.
Sobald das Risiko zu hoch ist, kann der Benutzer zur Übermittlung weiterer Identitätshinweise aufgefordert werden oder unter Umständen gar nicht auf die Anwendung oder Daten zugreifen.
Daher wird dieses Verfahren auch als risikobasierte Authentifizierung bezeichnet.
Beispiel zur adaptiven oder risikobasierten Authentifizierung
Nehmen wir an, ein Benutzer versucht noch spät abends, beispielsweise aus einem Internetcafé aus, auf eine Anwendung zuzugreifen.
Handelt es sich dabei dann um ein unübliches Verhaltensmuster des Benutzers, wird dies von dem adaptiven FMA erkannt und dieser schlägt Alarm.
Der Benutzer wird dann beispielsweise aufgefordert, zusätzlich zu Benutzername und Kennwort einen Code einzugeben, der an das für den Benutzer registrierte Smartphone gesendet wird.
Anders wäre es, wenn derselbe Benutzer sich wie jeden Tag morgens um 9 Uhr in seinem Büro anmeldet.
Dann muss er ausschließlich seinen Benutzernamen und das Kennwort eingeben.
Standortbasierte Authentifizierung
Eine weitere MFA-Kategorie ist die standortbasierte MFA.
Bei diesem Authentifizierungsverfahren wird üblicherweise die IP-Adresse des Benutzers und, sofern möglich, auch der geografische Standort geprüft.
Anhand dieser Informationen kann das System dann entscheiden, ob dem Benutzer der Zugriff verweigert wird oder ob er Zugang zum System erhält.
Befindet der Benutzer sich nicht an einem per Whitelist autorisierten Standort, wird ihm der Zugriff dann verweigert.
Vor- und Nachteile der Multi-Faktor-Authentifizierung
Der größte Vorteil der Multi-Faktor-Authentifizierung besteht darin, dass die gängigen Bedrohungsszenarien des Identitätsdiebstahls durch einfachen Passwortklau ausgeschlossen sind.
Denn selbst wenn der Angreifer in Besitz des Passworts ist, hat dieser noch lange keinen Zugriff auf das System und die dort gespeicherten Informationen sowie Anwendungen.
Um sich in das System einloggen zu können, benötigt er mindestens einen weiteren Berechtigungsnachweis.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt in seinen IT-Grundschutzkatalogen diese Verfahren einzusetzen, da diese Anmeldeverfahren einen Zugewinn an Sicherheit im Internet und bei der Nutzung von IT-Systemen darstellt.
Neben den Vorteilen gibt es jedoch auch Nachteile.
Ein Nachteil ist, dass die zusätzliche Sicherheit oft eine Einschränkung der Usability darstellt.
Je mehr Faktoren bei der Anmeldung zu verwenden sind, desto aufwendiger und komplexer gestaltet sich der Anmeldevorgang für die User.
Außerdem ist zunächst keinerlei Zugriff auf das System möglich, sobald ein Faktor abhandenkommt.
Auch der Aufwand, den fehlenden Faktor zu ersetzen, ist erheblich größer als bei einer einfachen Authentifizierung.
