Heute geht es um Mehrfaktorauthentifizierung. Eine Sicherungsmaßnahme, welche durch die meisten Anwendungen heutzutage unterstützt wird und nahezu zum Standard geworden ist. Andere Bezeichnungen sind Multifaktorauthentifizierung (MFA) oder Zweifaktorauthentifizierung (2FA).
Welche Faktoren sind bei MFA gemeint?
Ein Faktor bei einem Authentifizierungsvorgang ist ein Authentifizierungsmerkmal, wie zum Beispiel ein Passwort, ein Fingerabdruck oder eine Smartcard. Sofern ein Angreifer es schafft eines dieser Authentifizierungsmerkmale zu stehlen, ist es dem Angreifer möglich sich als der Benutzer auszugeben, dessen Authentifizierungsmerkmal gestohlen wurde (Spoofing, Identity Theft).
Welche Faktoren gibt es?
Um diesen Angriff zu erschweren, beschreibt der aktuelle Stand der Technik und viele Regulatorien für Informationssicherheit (ISO 2700x, IT-Grundschutz), dass mindestens administrative Accounts und bestenfalls alle Benutzer mit MFA authentifiziert werden sollen. Bei dieser Art der Anmeldung werden zwei oder mehr der folgenden Authentifizierungsmerkmale genutzt:
- Etwas, was man besitzt (z.B. Token, Smartphone)
- Etwas, was man weiß (z.B. Passwort)
- Etwas, was man ist (z.B. Fingerabdruck, Irisscan)
Üblicherweise werden Lösungen mit Passwort als ersten Faktor (Wissen) und dem Besitz eines bestimmten Gerätes als zweiten Faktor eingesetzt. Mit dieser Kombination muss ein Angreifer zwei Authentifizierungsmerkmale in seinen Besitz bringen, um eine Spoofing-Attacke auszuführen.
Als mögliche Geräte kommen dabei extra dafür ausgelegt Hardwaretoken, wie bspw. RSA SecurID Token, oder Smartphone-Apps, wie Microsoft Authenticator, zum Einsatz. Diese Geräte nutzen Algorithmen, welche durch einen zufälligen Seed, über eine gewisse Dauer alle 60 Sekunden ein neues Einmalkennwort (One Time Password – OTP) generieren. Zum Thema Tokengenerator schreibe ich mal mehr in einem anderen Beitrag.
Welche Nachteile entstehen durch MFA/2FA?
Generell muss man sich immer überlegen, was passiert, wenn der zweite Faktor nicht verfügbar ist. Also ‚vergessen‘ bei einem Wissensfaktor oder ‚verloren‘ bei einem Besitzfaktor. Prinzipiell steht der Benutzer dann vor dem Problem, dass für ihn persönlich die Verfügbarkeit der Anwendung eingeschränkt ist. Es müssen also Supportprozesse existieren, um einen zweiten Faktor neu auszurollen oder eine Emergency-Loginmethode zeitnah zu ermöglichen. Dafür gibt es entweder Emergency Resetcodes, welche beim Ausrollen des zweiten Faktors mit Verteilt werden (und der Nutzer darf diese ebenfalls nicht verlieren!) oder der Support kann einen Emergencycode vergeben.
MFA/2FA wird inzwischen auch schon in vielen B2C-Anwendungen genutzt und findet so auch bei den Usern große Aktzeptanz. Oft wird MFA als Ersatz für VPN im Bezug auf interne Firmenanwendungen genutzt, was den Zugang stark erleichtert (aber hier ist eine vorherige Risikoabschätzung dringend zu empfehlen!).
0 Kommentare