Am 5. Mai, ist Welt-Passwort-Tag – die perfekte Gelegenheit, um über sichere Passwörter nachzudenken. Schwache Passwörter oder die falsche Verwendung von Passwörtern sind zu einem der Hauptgründe für Sicherheitsverstößen geworden.
Cyber-Angreifer haben es aktiv auf kompromittierte Passwörter abgesehen und nutzen sie nicht nur, um sich Zugriff auf die IT-Systeme von Unternehmen zu verschaffen, sondern auch, um sich unbemerkt in deren Netzwerken zu bewegen und dort ihre Ziele zu erreichen. Aus diesem Grund implementieren Unternehmen Lösungen – sowohl technische als auch Schulungsmaßnahmen – um sicherzustellen, dass die Mitarbeiter nicht nur sichere Passwörter verwenden, sondern dies auch auf sichere Weise tun. In der heutigen Welt reichen sichere Passwörter jedoch nicht mehr aus. Selbst wenn sich Mitarbeiter das längste und sicherste Passwort der Welt ausdenken, haben Cyber-Angreifer vollen Zugriff auf deren Account, ihre Systems und Daten, wenn dieses Passwort kompromittiert wird. Einer der effektivsten und bewährtesten Ansätze für eine starke Authentifizierung ist die so genannte Multi-Faktor-Authentifizierung, kurz MFA. Bei der MFA werden mehrere Authentifizierungsfaktoren verwendet, bevor der Zugriff gewährt wird. Auf diese Weise sind der Account, das System und die Daten auch dann noch sicher, wenn das Kennwort kompromittiert wird, da die anderen Faktoren diese weiterhin schützen. MFA ist deshalb beliebt, wie MFA genau funktioniert und welche verschiedenen Implementierungen es gibt, ist jedoch meist unklar. Daher erfolgt hier eine kurze Erläuterung, damit Unternehmen ihre Mitarbeiter besser auf diesen äußerst effektiven Ansatz zur starken Authentifizierung vorbereiten können.
MFA gilt als eine der stärksten Methoden der Authentifizierung. Microsoft schätzt, dass MFA 99 Prozent der authentifizierungsbasierten Angriffe abwehrt. Diese Maßnahme ist zwar nicht narrensicher, aber eine der effektivsten Maßnahmen, die Unternehmen ergreifen können, um das Risiko einer Sicherheitsverletzung drastisch zu verringern. Im einfachsten Fall handelt es sich bei MFA um eine mehrstufige Authentifizierung, bei der sich eine Person nicht nur mit einem Passwort (das sie kennt), sondern auch mit einem eindeutigen Code oder einem Gerät, das sie besitzt, authentifiziert. Selbst wenn das Passwort kompromittiert wird, sind das Konto und die Daten sicher, da der Cyberangreifer keinen Zugriff auf die zweite Form der Authentifizierung hat. Darüber hinaus gibt es mehrere Möglichkeiten, MFA zu implementieren.
Vier gängige MFA-Methoden
- SMS-Code: Ein einmaliger, eindeutiger Code wird per SMS an ein Mobilgerät gesendet. Sie verwenden diesen Code dann zusammen mit einem Kennwort, um sich zu authentifizieren und anzumelden. Dies ist der am häufigsten verwendete Ansatz, wahrscheinlich weil er am einfachsten einzurichten ist: Der einzelne Nutzer muss lediglich seine Mobiltelefonnummer bei seinem Account registrieren, so dass beim Versuch, sich mit seinem Benutzernamen und Kennwort anzumelden, ein Code an sein mobiles Gerät gesendet wird, der als zweites Mittel zur Authentifizierung dient. Dieser Ansatz ist zwar einfacher, birgt aber auch ein Risiko. Wenn es jemandem gelingt, die Telefonnummer umzuleiten oder in seinen Besitz zu bringen (z. B. durch SIM-Austausch), kann der Angreifer einen eindeutigen Code erhalten. Bei einer anderen Angriffsmethode geben sich Cyber-Angreifer als Bank oder IT-Support aus und verleiten ihre Opfer dazu, den eindeutigen Code preiszugeben, um sich dann mit diesem Code schnell als das Opfer anzumelden.
- Code-Generator: Das mobile Gerät verfügt über eine mobile Authentifizierungs-App (z. B. Google Authenticator), die die eindeutigen Einmalcodes generiert. Mitarbeiter laden die App auf ihr mobiles Gerät herunter und synchronisieren dann die Authentifizierungs-App mit jedem Account, um MFA für diese zu aktivieren. Diese Authentifizierungs-Apps können Hunderte von Accounts gleichzeitig unterstützen. Ein anderer Ansatz besteht darin, dass sie einen physischen Token erhalten, der die einmaligen, eindeutigen Codes generiert. Die Verwendung einer mobilen App oder eines physischen Tokens zur Generierung von Codes gilt als sicherer als SMS-Codes, da es für Cyber-Angreifer keine Möglichkeit gibt, die Telefonnummer zu übernehmen. Allerdings besteht bei dieser Methode immer noch die Gefahr, dass Cyberangreifer Mitarbeiter zur Herausgabe des einmaligen Codes verleiten oder täuschen.
- Authentifizierungs-Benachrichtigungen: Einige mobile Authentifizierungs-Apps (z. B. Microsoft Authenticator) sorgen dafür, dass bei der Anmeldung auf bestimmten Websites kein einmaliger Code verlangt wird, sondern die Website eine Authentifizierungsanfrage an eine mobile App sendet und fragt, ob der Mitarbeiter auch der ist, der sich anmelden will. Ist dies der Fall, bestätigt er oder sie die Authentifizierungsanfrage über das Gerät. Dieser Ansatz wird auch häufig im Apple-Ökosystem verwendet. Er gilt als sicherer, da es keinen Code gibt, den Cyberangreifer ausnutzen könnten. Wenn jedoch ein Cyber-Angreifer Zugang zu einem Passwort erhält und versucht, sich als der Mitarbeiter anzumelden, kann er so lange versuchen, sich zu authentifizieren, bis der Mitarbeiter die Authentifizierungsanfrage auf seinem Mobiltelefon genehmigt.
- FIDO: Mitarbeiter erhalten ein physisches Gerät, das an den Laptop oder Computer angeschlossen wird und bei den Websites registriert sind, bei denen sich diese regelmäßig anmelden. Wenn das Gerät mit dem Computer verbunden ist (über den USB-Anschluss oder über NFC-Technologie) und der Mitarbeiter diese Websiten besuchen, authentifiziert das Gerät diese. Der Yubikey ist ein weit verbreitetes, öffentlich verfügbares Beispiel für ein solches physisches Gerät, das den FIDO-Standard unterstützt. Dieser Ansatz ist die sicherste Authentifizierungsmethode, da es keinen eindeutigen Code oder eine Authentifizierungsanfrage gibt und Cyberangreifer ihre Opfer nicht austricksen oder täuschen können. Viele Experten halten dies für die beste Lösung zum Schutz vor Phishing. Allerdings kann diese Methode auch die komplexeste für Unternehmen sein, und viele Websites unterstützen den FIDO-Standard für die Authentifizierung noch nicht.
Fazit
In den meisten Fällen entscheidet die IT-Sicherheits- oder Risikomanagement-Abteilung über die MFA-Methode. Unabhängig davon, für welche Methode Unternehmen sich entscheiden, ist jede besser als nur die Passwörter allein. Um jede Form von MFA effektiv zu implementieren, sollten IT-Sicherheitsexperten die folgenden Ziele verfolgen:
- Betonen Sie die Vorteile von MFA, da sie zur Abwehr der meisten authentifizierungsbasierten Angriffe beitragen kann.
- Das Konzept der MFA so einfach wie möglich halten. Es gibt so viele verschiedene Begriffe und Variationen von MFA. Überfordern Sie sie nicht.
- Betonen Sie, dass MFA nicht nur eine Lösung für die Arbeit ist, sondern genauso für den Schutz der wichtigsten Accounts zu Hause.
Autor: Lance Spitzner, Senior Instructor beim SANS Institute