Statische Authentifizierung löst nur einen Teil des Problems
Ein guter Weg, Credential Stuffing einzudämmen, ist sicherlich die Multifaktor-Authentifizierung.
Denn um ein MFA-geschütztes Konto erfolgreich hacken zu können, brauchen die Angreifer neben der Nutzer-Passwort-Kombination zudem einen Zugriff auf das Endgerät, das für den zweiten Faktor verwendet wird. Das wiederum würde für die Übeltäter allerdings massiven Zeit- und Arbeitsaufwand nach sich ziehen. Um nicht zu sagen, es würde einen solchen „Groß-Angriff“ nahezu unmöglich machen. Nachteil allerdings: die erhöhte Sicherheit der Login-Daten wird immer dann mit einer reduzierten User Experience bezahlt, wenn MFA quasi standardisiert über jeden Login gestülpt wird. Denn wer sich erst kompliziert anmelden muss, um auf einen Online-Service wie eine Reisebuchung zugreifen zu können, der lässt es lieber ganz bleiben, und sucht nach einfachen Wegen.
Zielführender wäre eine adaptive Authentifizierung. Hier werden je nach Nutzungsszenario, bestimmte Sicherheitsmechanismen in Gang gesetzt. Greift ein Nutzer beispielsweise immer über dieselbe IP-Adresse auf einen Service zu, braucht er eine „schwächere“ Authentifizierungsstufe, als wenn er aus einem anderen Land oder von einem anderen mobilen Gerät auf diesen Service abruft. Hingegen, wenn es um sensible Transaktionen, wie Online-Bankgeschäfte geht, steigen die Authentifizierungs-Anforderungen für ihn.
Authentifizierung muss flexibel auf das Nutzungsszenario eingehen
Die Kunst ist es hier, über den Anwendungskontext auf das Sicherheitsniveau zu schließen. Mit anderen Worten die digitalen Identitäten in jeder Situation mit dem entsprechenden Schutzlevel zu versehen, ohne die User Experience zu beeinträchtigen. Damit hätte die IT-Sicherheit einen systematischen Hebel, der erst greift, wenn bei Prüfung der Login -Daten Anomalien auftreten.
Diese können bei Auth0 über Signals IP dingfest gemacht werden. Die intelligente Bedrohungsanalyse bewertet die Vertrauenswürdigkeit von IP-Adressen, auf Basis einer Datenbank mit bekannten Bedrohungen, welche auf zahlreiche Datenquellen zugreift und sie analysiert. Sie soll vor allem dabei helfen, Credential-Stuffing-Angriffe zu verhindern, die erbeutete Log-ins von anderen Seiten für Anmeldeversuche verwenden. Auth0 Signals kann solche Anmeldeversuche komplett blockieren.
Quelle: Auth0