Zur Navigation Zur Suche Zum Inhalt
Kontakt

MFA – was es bringt und was beachtet werden sollte

MFA_Sicherheit

Beitrag von secnovum Dieser Beitrag wurde von Michael Schäublin, Consultant | Security Adviosr für secnovum verfasst. 

SmartIT_Web_Michael_SchaeublinSeit über 10 Jahren beim Berner IT-Dienstleister SmartIT Services AG in verschiedenen technischen Funktionen tätig. Michael Schäublin seit jeher intensiv mit IT-Security auseinander. Er hat als Security Advisor die fachliche Führung des Fachteams Security, erarbeitet zusammen mit dem Team Richtlinien und technische Konzepte, welche zum sicheren Betrieb von IT-Umgebungen beitragen. Zudem berät und schult er Kunden zum Thema IT-Security.

Schwachstellen von Passwörtern

Aufgrund verschiedener Schwachstellen zeigt sich, dass Passwörter alleine für die Absicherung von Informationen nicht genügen:

  • Passwörter können den Benutzern mittels Phishing abgeluchst werden
  • Die Passwortqualität ist ungenügend
  • Passwörter werden für verschiedene Dienste wiederverwendet
  • Passwörter können erraten bzw. durchprobiert werden
  • Der Schutz durch ein Passwort kann durch technische Schwachstellen umgangen werden

Schutz durch Multi-Faktor-Authentifizierung erhöhen

Eine Möglichkeit, um das Schutzniveau zu erhöhen, ist der Einsatz von Multi-Faktor-Authentifizierung (MFA), manchmal auch Zwei-Faktor-Authentifizierung (2FA) oder 2-Step-Verification (2SV) genannt. Darunter sind Techniken zu verstehen, welche neben dem traditionellen Passwort noch ein weiteres Authentifizierungsmerkmal abfragen. Bei den meisten üblichen Methoden wird dafür ein zusätzlicher Kommunikationskanal aufgebaut oder es ist ein weiteres Device (z.B. Handy) notwendig. Die breite Öffentlichkeit sollte mit MFA vertraut sein, wer z.B. eBanking nutzt, wird nun schon seit einiger Zeit zur Nutzung von einem zweiten Authentifizierungs-Kanal gezwungen.

Die Auswahl an Authentifizierungs-Techniken ist sehr gross. Jede Technik hat ihre Vor- und Nachteile. Richtig umgesetzt steigern aber alle Methoden die Sicherheit von Benutzeraccounts; mit der richtigen Methode sogar erheblich.

Google hat im Mai 2019 Ergebnisse aus einer Studie veröffentlicht, in welcher Forscher über einen Zeitraum von einem Jahr die Wirksamkeit von Multi-Faktor-Authentifizierungs-Methoden untersucht haben.

So haben alle Methoden automatisierte Angriffe durch Bots zu einem grossen Teil blockiert. Phishing Angriffe auf eine grosse Menge von Accounts wurden mit den meisten Methoden ebenfalls mit überzeugenden Resultaten verhindert. Und mit den richtigen Methoden wurden auch gezielte Angriffe auf einzelne Benutzer unterbunden.

Statistik der MFA von Google

Die Nutzung eines weiteren Authentifizierungs-Faktors hat aber auch negative Aspekte. Der wichtigste davon ist für jede Benutzerin und jeden Benutzer spürbar: Der Authentifizierungs-Prozess dauert länger und erfordert mehr Interaktion von Seiten der Benutzer.

Diesen Umstand machen sich auch Angreifer zunutze. Benutzer werden beispielsweise mit MFA-Anfragen überhäuft mit dem Ziel, sie zu ermüden und dazu zu bringen, MFA-Anfragen blind zu bestätigen (MFA Fatigue). Um derartige Angriffe zu erschweren, haben manche Anbieter bereits zusätzliche Massnahmen implementiert.

Was sollte bei MFA beachtet werden?

 

Die Auswahl der richtigen MFA-Technik

Welche Technik für ein Szenario am besten geeignet ist, hängt stark davon ab, welche Möglichkeiten überhaupt angeboten werden und welche Zielgruppe (Benutzer) man hat. Zum Beispiel macht es einen grossen Unterschied aus, ob Benutzer zu einer Organisation gehören oder ob man externe Benutzer (z.B. Kunden) schützen will.

Die Häufigkeit der MFA-Abfrage

Um einer Ermüdung der Benutzer vorzubeugen und den Anmeldeprozess nicht unnötig kompliziert zu gestalten, sollten Wege gefunden werden, um die MFA-Abfragen auf das Notwendigste zu beschränken.

Die Mitglieder von secnovum beraten gerne ihre Kunden bezüglich des Einsatzes von MFA.

Welche Alternativen gibt es zu MFA?

Grosse Softwarehersteller arbeiten daran, Passwörter überflüssig zu machen. Wie das funktionieren kann, wurde bereits von secnovum beleuchtet: https://www.secnovum.ch/blog/fido2-eine-zukunft-ohne-passwoerter