Multifaktor-Authentifizierung

Leitfaden zur Multifaktor-Authentifizierung

DigiCert
08-21-2020
Lesezeit: 4 Minuten

Computer und internetfähige bzw. „intelligente“ Geräte sind mittlerweile so günstig, dass jeder von uns mehrere besitzen kann: Smartphones, Laptops, Tablets und Wearables. In unserem Berufs- wie Privatleben erwarten wir, dass uns Informationen jederzeit zur Verfügung stehen. Zusammen mit dem anhaltenden Trend in Unternehmen, ihre Server in die Cloud zu verlagern, erfordert dies eine sichere Methode für die Benutzerauthentifizierung. Dies umzusetzen, ist aber nicht so leicht. Und damit wären wir schon bei der Multifaktor-Authentifizierung. Was ist das und wie lässt sie sich realisieren?

Was ist Multifaktor-Authentifizierung?

Zweck der Multifaktor-Authentifizierung ist die mehrstufige Anmeldung bei einem System, das die Identität des Benutzers durch mindestens zwei voneinander unabhängige Faktoren prüft: etwas, das der Benutzer weiß (Passwort), das er hat (Sicherheitstoken) und das ihn auszeichnet (biometrisches Merkmal). Muss ein Benutzer mehrere Nachweise seiner Identität erbringen, um Zugriff auf Computer, Mobilgeräte, Anlagen, Netzwerke oder Datenbanken zu erlangen, haben es Unbefugte schwerer, sich als autorisierter Benutzer auszugeben, um dasselbe zu tun. Jede Nachweisebene schließt die Lücke, die eine andere eventuell gelassen hat. Laut Microsoft lassen sich per Multifaktor-Authentifizierung 99,9 % der automatisierten Angriffe blockieren.

Die Multifaktor-Authentifizierung wird immer häufiger angewendet, insbesondere im Finanzwesen, und wird in Zukunft auch verstärkt das Scannen der Netzhaut und Fingerabdrücke, die Stimm- und sogar Gesichtserfassung beinhalten.

Welche sicherheitsrelevanten Vorteile hat die Multifaktor-Authentifizierung?

Wäre es möglich, eine für sich stehende Authentifizierungsmethode zu entwickeln, die zu 100 % genau und manipulationssicher ist, dann bräuchten wir die Multifaktor-Authentifizierung nicht. Doch Passwörter lassen sich heimlich lesen, mithören, raten oder umgehen. Token gehen verloren oder werden gestohlen. Und ein eineiiger Zwilling oder ein Foto reichen eventuell, um Biometriescanner in die Irre zu führen. Deshalb ist die Multifaktor-Authentifizierung derzeit nicht aus der Kontosicherheit wegzudenken.

Dahinter steht die Idee, dass ein Authentifizierungsfaktor geknackt werden kann, zum Beispiel per gestohlenem Passwort oder abgeschriebener PIN, dass aber ein zweiter oder dritter Faktor diese Schwäche ausgleicht und die Zugriffsberechtigung zuverlässig bestätigt oder verweigert.

Einrichten der Zwei-Faktor-Authentifizierung für DigiCert-Konten

Beim Einrichten der Multifaktor-Authentifizierung für Ihr DigiCert-Konto müssen Sie sich nur für die zu Ihnen passende Option entscheiden. Wenden Sie sich mit Ihrem Wunsch an Ihren Kundenberater oder den Vertrieb bei DigiCert. Die Kontaktdaten stehen weiter unten.

Für die Zwei-Faktor-Authentifizierung in Ihrem DigiCert-Konto haben Sie drei Optionen. Zunächst einmal können Sie „Do Not Force“ (Nicht erzwingen) selbst aktivieren und deaktivieren und damit festlegen, ob die Zwei-Faktor-Authentifizierung gefordert ist oder nicht. Die zweite Option ist „Client Certificate“ (Client-Zertifikat). Ist sie aktiviert, müssen sich alle Kontobenutzer unter Vorlage ihres Client-Zertifikats bei der Managementkonsole von DigiCert anmelden. Und dann gibt es da noch die Option eines Einmalpassworts. Hier geht es zu weiteren Informationen zu den einzelnen Optionen.

Unternehmenskunden:

sales@digicert.com oder die kostenlose Vertriebsnummer: +44 (0) 203 788 7741.

Siehe CertCentral: Zwei-Faktor-Authentifizierung.

Privatkunden:

Kontakt zu unserem Support

support@digicert.com oder Telefon: +1-801-701-9600

Welche Optionen für die Multifaktor-Authentifizierung gibt es für Mobilgeräte? Einmalpasswörter

Es gibt Anwendungen, die Einmalpasswörter auf eine Weise generieren, wie früher Sicherheitstoken genutzt wurden. Das Einmalpasswort wird erzeugt und per vorübergehend gültiger SMS an das Mobilgerät gesendet.

Durch die Nutzung von Smartphones und Tablets muss kein Token mehr im Blick behalten werden und Unternehmen sparen die Kosten, die sonst für das Ersetzen verloren gegangener Token, das Aktivieren von Token für neue Mitarbeiter oder das Deaktivieren bei Ausscheiden eines Mitarbeiters anfallen.

Biometrische Authentifizierung

Führende Smartphone-Hersteller wissen, dass Sicherheit bei ihren Kunden immer wichtiger wird und bieten deshalb die Authentifizierung anhand biometrischer Merkmale an, um es unbefugten Benutzern schwer zu machen. Jede dieser Methoden hat Vor- und Nachteile.

 Biometrische Verifizierung  Vorteile  Nachteile
 Abgleich des Fingerabdrucks  Jeder Mensch hat einen
 individuellen Fingerabdruck
 Integration mit Software für den
 Netzwerkzugriff erforderlich
 
 Stimmerkennung  Keine gesonderte Hardware erforderlich  Unpraktisch oder unwirksam,
 wenn der Benutzer nicht sprechen soll oder
 bei lauten Hintergrund-
 geräuschen
 
 Gesichtserkennung oder Netzhautscan  Keine gesonderte Hardware erforderlich,
 sofern das Gerät mit
 einer Kamera ausgestattet ist
 Unwirksam bei schlechten Lichtverhältnissen und
 mit Fotos möglicherweise
 manipulierbar
 
 

Wie wird die Multifaktor-Authentifizierung in der Cloud umgesetzt?

Beim Verlagern von Daten, ihrer Übertragung, Schulungen, Serverinfrastrukturen usw. in die Cloud begegnen IT-Administratoren andere Risiken, als sie es vom herkömmlichen lokalen Serverbetrieb kennen. Zum Schutz der Daten in der Cloud ist die Benutzeranmeldung per Multifaktor-Authentifizierung auf Zufallsbasis unverzichtbar.

Microsoft, Google, Amazon Web Services, Facebook, Twitter – um nur einige zu nennen –, sie alle beschränken den Zugriff auf ihre Clouddienste durch Zwei-Faktor-Authentifizierung. Und manche von ihnen gehen mittlerweile zu Multifaktor-Authentifizierung über.

Multifaktor-Authentifizierung für Microsoft 365

In Microsoft 365 ist der Zugriff auf die Anwendungen über PCs, Macs und Mobilgeräte passwortgeschützt. Das Microsoft 365-Administratortool generiert einen 16-stelligen Zufallstoken, mit dem sich der jeweilige Benutzer dann anmeldet. Danach erhält der Benutzer die Aufforderung, eine zusätzliche Authentifizierungsmethode auszuwählen.

  • Mein Mobiltelefon anrufen: Der Benutzer wird angerufen und drückt nach der Ansage die Rautetaste am Telefon.
  • Meinen Geschäftsanschluss anrufen: Wie bei „Mein Mobiltelefon anrufen“, allerdings geht der Bestätigungsanruf an eine separate Nummer, z. B. ein Bürotelefon.
  • Code per SMS an mein Mobiltelefon senden: Der Benutzer erhält eine SMS mit einem Code, den er in das Microsoft 365-Anmeldeformular eingeben muss.
  • Mich durch die App benachrichtigen: Dem Benutzer steht eine Microsoft-App für Windows Phone, iPhone und Android zum Erhalten und Bestätigen der Benachrichtigung offen.
  • Einmaligen Code in der App anzeigen: Von derselben App wie bei „Mich durch die App benachrichtigen“ erhalten Sie einen einmaligen sechsstelligen Code, den Sie auf dem Microsoft 365-Anmeldebildschirm eingeben müssen.

Multifaktor-Authentifizierung für Microsoft 365 mittels Microsoft Azure Active Directory

Microsoft 365 mit Microsoft Azure Active Directory ist eine Lösung auf Enterprise-Niveau, die vom Benutzer erst verlangt, das richtige Passwort einzugeben und dann die Authentifizierung per Anruf, SMS oder App-Benachrichtigung zu quittieren. Erst dann kann der Benutzer auf das System zugreifen.

Wie lässt sich Multifaktor-Authentifizierung am besten implementieren?

Um Multifaktor-Tools unterstützen und verwenden zu können, müssen IT-Abteilungen die Unternehmensinfrastruktur so koordinieren und konfigurieren, dass die abgesicherte Anmeldung ordnungsgemäß durchgeführt wird. Die meisten Tools beinhalten Software-Agents zum Schutz von VPNs, SharePoint-Servern, Outlook Web App und Datenbankservern. Da mittlerweile immer häufiger herkömmliche, d. h. auf Hardware aufsitzende lokale Server in die Cloud verlagert werden, bieten die meisten Anbieter von Multifaktor-Lösungen ebenfalls Cloud- und Vor-Ort-Optionen. Die externe Bereitstellung wird von Kunden immer häufiger gewählt, weil die Cloud viel Unterstützung bietet und eine flexiblere Verwaltung verspricht.

Jedes Bereitstellungsprojekt hat seine Eigenheiten, deshalb ist es unerlässlich, die verfügbaren Produkte für die Multifaktor-Authentifizierung sorgfältig zu evaluieren und ihre feinen Unterschiede auszuloten. Nicht jeder Anbieter deckt jedes Szenario kompetent ab, daher ist dieses Kriterium das entscheidende bei der Produktauswahl. Stellen Sie diese Fragen, wenn Sie Produkte für die Multifaktor-Authentifizierung unter die Lupe nehmen möchten:

  1. Wie groß ist der Anteil persönlicher Informationen im Netzwerk? Bei einem aktuell geringen Anteil persönlicher Informationen im Netzwerk oder bei Plänen, den Speicher für kritische Daten auszuweiten, reichen die vorhandenen Authentifizierungsmethoden wahrscheinlich aus.
  2. Wer wird die Berichte, die diese Produkte erstellen, zu Gesicht bekommen? Sie müssen wissen, wer darüber benachrichtigt wird, wenn es mit dem Authentifizierungssystem Probleme gibt. Einige Produkte senden Warnmeldungen unter Umständen bei jeder Kleinigkeit. Allerdings ist es den meisten Unternehmen nicht recht, wenn das Management unnötig in Aufruhr versetzt wird.
  3. Braucht das Unternehmen eine Möglichkeit, die Bereitstellung auszuweiten? Zukünftige Lizenzierungskosten dürfen nicht vernachlässigt werden. Die meisten Multifaktor-Produkte können mit Zehntausenden Token und Benutzern umgehen, ebenso aber auch kleineren Unternehmen von Nutzen sein.
  4. Wer wird zu den ersten Pilotbenutzern gehören? Die Antwort darauf stellt die Weichen für die Absicherung von Apps und Anwendungsbereichen im Unternehmen.
  5. Werden die Tools für die Zwei-Faktor-Authentifizierung bereits genutzt, die von einigen Standarddiensten angeboten werden? Falls nicht, sollte das Unternehmen eine Aufklärungskampagne starten und seine Mitarbeiter mit der Zweitfaktor-Option vertraut machen, die häufig genutzten Clouddiensten zu eigen ist. Die Multifaktor-Authentifizierung ist bereits Bestandteil dieser Dienste, es braucht nur etwas Schulung, um sie zuverlässig anzuwenden.
  6. Wie sollen Passwörter in einer Umgebung mit Multifaktor-Authentifizierung zurückgesetzt werden? Idealerweise sollte der Prozess zum Zurücksetzen oder Wiederherstellen mindestens genauso gut abgesichert sein wie die Multifaktor-Authentifizierung selbst. Es sollte eine Frage geben, die nur der Benutzer beantworten kann, oder einen Code, der an eine anerkannte E-Mail-Adresse oder Telefonnummer (per SMS) gesendet wird.

Welche Hindernisse stehen der Umsetzung von Multifaktor-Authentifizierung im Weg?

Ein Business Case für Multifaktor-Authentifizierung ist nicht leicht erstellt, sondern erfordert Vorausplanung. Für die Technologie gibt es zahlreiche Anwendungsmöglichkeiten. Wie diese realisiert werden, unterscheidet sich je nach den beteiligten IT-Infrastrukturkomponenten. Wer vorzeitig weiß, wie Multifaktor-Authentifizierung in seinem Unternehmen angewendet werden soll, wird bei der Anbieterwahl mehr Erfolg haben.

Bevor Sie sich an die Auswahl eines Anbieters von Multifaktor-Authentifizierung machen, überlegen Sie sich gründlich, ob Ihnen diese Bereitstellungshürden bevorstehen:

  1. Wenn Ihre Active Directory-Instanz nicht „aufgeräumt“ und mit den richtigen Informationen gefüllt ist, wird die Implementierung einer Multifaktor-Authentifizierungslösung mit Schwierigkeiten einhergehen.
  2. Wenn Sie immer noch hauptsächlich lokale Server nutzen, kommen Sie mit den in Windows Server integrierten Richtlinien für starke Passwörter vielleicht besser zurecht (oder Ihnen gelingt damit ein leichterer Einstieg). Damit können Sie testen, welchen Widerstand Sie von den Benutzern zu erwarten haben, wenn diese ihre Passwörter komplexer gestalten und regelmäßig ändern müssen.
  3. Bei einer geografisch verteilten Belegschaft, mit einigen wenigen Mitarbeiterinnen und Mitarbeitern an zahlreichen Orten, kann sich die Schulung des Personals oder das Verteilen von Transpondern schwierig gestalten. In solchen Fällen könnten Unternehmen von Softwaretoken oder Apps profitieren.

Die Zukunft der Multifaktor-Authentifizierung

Für Finanzdienstleister und andere B2C-Unternehmen wird die Multifaktor-Authentifizierung immer alltäglicher. Eine 2019 von LastPass durchgeführte Untersuchung ergab, dass 57 Prozent der befragten Unternehmen zu diesem Zeitpunkt Multifaktor-Authentifizierung nutzten. Laut Prognose soll ihr Anteil bis Ende 2020 auf 90 Prozent steigen.

Passwörter allein reichen immer öfter nicht aus, um adäquat zu schützen. Gleichzeitig nutzen wir alle recht häufig Mobilgeräte und Clouddienste. In dieser Situation finden Multifaktor-Tools in beinahe jedem Bereich des Unternehmens Verwendung, insbesondere dort, wo viel mit persönlichen Informationen gearbeitet wird.

Laut der LastPass-Studie „sind zahlreiche Unternehmen, die ihre Mitarbeiterinnen und Mitarbeiter dazu ermuntern oder anhalten, Multifaktor-Authentifizierung zu nutzen, gleichartigen Unternehmen bei der Vermeidung von Bedrohungen etwas voraus. Im Bereich Cybersecurity haben oft schon die einfachsten Maßnahmen große Wirkung und können die häufigsten Angriffe verhindern. Dass sich die Multifaktor-Authentifizierung in den kommenden Jahren in weiteren Sektoren ausbreiten wird, ist also zu erwarten.“

UP NEXT
VMC

Einrichtung von DMARC für die VMC-Qualifizierung Ihrer Domain

5 Min

Im Blickpunkt

Digitales Vertrauen für die analoge Welt wird Wirklichkeit

Mit Zero Trust zum digitalen Vertrauen

Smart Homes sollen das Leben einfacher machen, aber da jedes Smart Home-Gerät eine eigene App benötigt, um es zu verwalten, war es für die Verbraucher nicht einfach, ihre verschiedenen Geräte zu verwalten. Lesen Sie hier mehr über Matter-Trusted Devices.