Multifaktor-Authentifizierung (MFA) ist eine Methode zur Überprüfung von Anmeldeinformationen, die die Bereitstellung von zwei oder mehr Authentifizierungsmechanismen erfordert, um Zugriff auf eine IT-Ressource zu erhalten. Im Wesentlichen melden sich Benutzer neben einem Passwort an, indem sie einen Fingerabdruck, ein USB-Token, eine Push-Benachrichtigung auf ihrem Gerät usw. angeben. Angesichts dieser zusätzlichen Reibungsebene ist die Endbenutzererfahrung von entscheidender Bedeutung, wenn mehrere Authentifizierungsmethoden durchgesetzt werden.
Meine persönlichen Erfahrungen mit MFA waren schrecklich. Das Onboarding kann eine Herausforderung sein und die Einrichtungsanweisungen sind nicht immer klar. In einem Fall funktionierten die von der OTP-App generierten Passwörter nicht. Ich konnte mich nicht offline anmelden und wusste nicht, dass ich die „sicheren“ Apps aus dem Play Store des Arbeitsprofils des Telefons und nicht aus dem Play Store des Standardprofils herunterladen musste. Das Gleiche gilt für Konsumgüter. Neue Telefonnummer? Leider kein PayPal mehr.
Da ich den Kürzeren gezogen habe, war ich in der besten Position, diesen Bereich zu erforschen. Ich bin angenehm überrascht, dass diese Art von Erfahrung bei allen 24 Anbietern, die wir im germanic-Radar zu MFA vorstellen werden, schon lange vorbei ist. Auch wenn MFA nicht so beliebt ist wie Edge,
Apropos: Ich denke, viele Leute würden sofort an eine passwortlose Authentifizierung denken, aber ich werde nicht weiter darauf eingehen. Warum? Denn passwortlos ist nur das Ergebnis anderer Funktionen und Fähigkeiten, die viel interessanter sind. Vor diesem Hintergrund behandeln wir zwei Varianten der verhaltensbasierten Authentifizierung, Passkeys und Proximity-Authentifizierung, und wie MFA für alle Dienste einer IT-Umgebung durchgesetzt werden kann.
Bisher konnten Nutzer ihre Identität nachweisen, indem sie etwas angaben, was sie wussten, etwas, das sie besaßen, oder etwas, das sie waren. Aber sie können ihre Identität nun durch ihr Verhalten beweisen. Dabei gibt es zwei Kategorien: die Eigenheiten des Benutzers, die wir als Verhaltensbiometrie klassifizieren, und die Aufgaben, die er ausführt, die wir als Erkennung verdächtigen Verhaltens bezeichnen.
„Du tippst wirklich schnell!“ „Wie nutzen sie ein Touchpad anstelle einer Maus?“
Die Art und Weise, wie wir mit unseren Geräten interagieren, ist ein Fingerabdruck für sich. Dynamik und Trittfrequenz der Tastenanschläge, die Cursorgeschwindigkeit, ob wir Tastaturkürzel verwenden und welche Tastaturkürzel wir verwenden, sind alle unterschiedlich und einzigartig. Dies ist ein Bereich, den MFA-Anbieter als fälschungssichere Methode implementieren möchten, die nur der echte Benutzer reproduzieren kann. Anbieter wie Optimal IdM, PingIdentity, SecureAuth, IBM Security Verify und ForgeRock entwickeln dies entweder selbst oder integrieren es in TypingDNA, Biocatch, LexisNexis und andere ähnliche Anbieter.
Erwähnenswert sind auch die vielen Herausforderungen in diesem Bereich, darunter Datenschutz und Privatsphäre, Konsistenz auf allen Geräten und die Anfälligkeit für Keylogger.
Nehmen wir an, Sie haben eine Authentifizierungsrichtlinie implementiert, um Passwörter und Textnachrichten für Benutzer zu verwenden, die sich bei Ihrem CRM anmelden. Sie haben außerdem eine erweiterte Authentifizierung implementiert, um einen Fingerabdruck für sensiblere Aktionen wie das Exportieren, Hinzufügen oder Entfernen von Kontakten zu verwenden.
Ein raffinierter Angreifer kann die Erstauthentifizierung umgehen und Daten herausfiltern. Anstatt zu versuchen, alle Daten zu exportieren, die die zusätzliche Fingerabdruckabfrage auslösen würden, geht der Angreifer Zeile für Zeile vor, indem er die Einträge entweder kopiert und einfügt oder einen Screenshot macht.
In dieser Situation kann diese Verhaltenserkennung feststellen, dass es höchst unwahrscheinlich ist, dass sich ein echter Benutzer so verhält, und eine weitere Authentifizierungsaufforderung senden.
Ein anderes Beispiel wäre ein Angreifer, der die Authentifizierungsherausforderungen umging, um sich bei einem E-Mail-Client anzumelden. Wenn der Angreifer dann damit beginnt, E-Mails an externe und/oder unbekannte Organisationen weiterzuleiten, sendet der MFA eine weitere Aufforderung zur Authentifizierung.
Wir denken an MFA, um uns bei Webanwendungen anzumelden oder unsere Geräte zu entsperren. MFA kann jedoch für jede Ressource erzwungen werden, die Zugriff erfordert, auch wenn Benutzer nicht beteiligt sind. Einige Beispiele umfassen Befehlszeilenschnittstellen, Datenbankdienste, Cloud-basierte und lokale Server, APIs, IoT-Geräte und selbst entwickelte Anwendungen, die lokal ausgeführt werden. Abhängig von der Policy-Definitions-Engine und der Vielfalt der Authentifizierungsmethoden würden diese die laterale Bewegung erheblich einschränken.
Dies ist die Kernfunktion einer MFA-Lösung wie Silverfort, während andere Anbieter wie JumpCloud und CyberArk MFA auch für verschiedene Arten von Ressourcen erzwingen können. Einige Anbieter sind auf eine Art alternativer Authentifizierung spezialisiert, beispielsweise Corsha, das sich auf die Maschine-zu-Maschine-Authentifizierung konzentriert.
Im Jahr 2022 definierte die Fido Alliance in ihrem Whitepaper „Multi-Device FIDO Credentials“ zwei weitere Authentifizierungstypen, die zunehmend an Bedeutung gewinnen. Dies sind „Verwendung Ihres Telefons als Roaming-Authentifikator“, die wir im Folgenden als Proximity-basierte Authentifizierung definieren, und „Multi-Device-FIDO-Anmeldeinformationen“, die die Branche freundlicherweise auf Passkeys abgekürzt hat.
Nähebasierte Authentifizierung
Bei der Proximity-Authentifizierung, auch „Walk-up-and-Walk-Away“-Authentifizierung genannt, handelt es sich um den Prozess der Authentifizierung von Benutzern über die physische Entfernung ihres Geräts zu einem Proximity-Token oder Smartphone. Befindet sich der Benutzer in ausreichender Nähe zum Token, wird ein vorbereiteter Satz an Anmeldeinformationen automatisch überprüft und der Benutzer authentifiziert. Dies erfolgt über Bluetooth oder BLE und kann über einen Hardware-Token oder ein Smartphone erfolgen.
Während dies offiziell von der FIDO im Jahr 2022 definiert wurde, tun dies Anbieter wie GateKeeper bereits seit 2015. WatchGuard liefert das gleiche Ergebnis mit einer umgekehrten Methodik und verhindert die Authentifizierung, wenn eine mobile App weit vom Gerät des Endbenutzers entfernt ist.
Passschlüssel
Passkeys authentifizieren Benutzer, indem sie ein Gerät an eine Webressource binden. Wenn Benutzer einen Passkey erstellen, sendet die Webressource eine Anfrage an das Gerät des Benutzers, die zunächst über die erste Authentifizierungszeile des Geräts – beispielsweise Passwort, Fingerabdruck oder PIN – genehmigt werden muss. Sobald die Anfrage genehmigt wurde, wird ein Paar öffentlich-privater Schlüssel generiert, wobei der öffentliche Schlüssel von der Webressource und der private Schlüssel vom Gerät gehostet wird. Das Gerät stellt sicher, dass ein Passkey nur mit der Website oder App verwendet werden kann, die ihn erstellt hat. Dies befreit Benutzer von der Verantwortung, sich bei der echten Website oder App anzumelden. Damit sich der Benutzer bei einer Webressource anmelden kann, muss er lediglich das Gerät verwenden, das den privaten Schlüssel enthält, und die Erstlinien-Authentifizierungsmethode des Geräts bereitstellen, das den Passschlüssel speichert.
Passkeys werden von der MFA-Branche schnell aufgegriffen und Anbieter wie Cisco Duo, Okta, OneLogin, Descope, Frontegg, FusionAuth und Hypr stellen sie heute zur Verfügung.
MFA wird immer ausgefeilter und seine Entwicklungen führen zu einer besseren Benutzererfahrung und einer erheblich verbesserten Sicherheitslage. Meine schlechte Erfahrung mache ich leider häufig mit älteren MFA-Bereitstellungen. Daher erwarten wir Widerstand von Endbenutzern, wenn es durchgesetzt wird, aber auch von Administratoren, die nicht noch mehr Reibung in ein bereits komplexes IT-System bringen wollen.
Die gute Nachricht ist, dass angesichts der vielen nahtlosen Möglichkeiten zur Authentifizierung heutzutage auch diejenigen mit einer negativen Voreingenommenheit gegenüber MFA ihre bevorzugte Authentifizierungsmethode auswählen können. Wir empfehlen daher, die verschiedenen Authentifizierungsmethoden der Anbieter zu bewerten, die für die täglichen Szenarien Ihrer Benutzer am besten geeignet sind. Noch besser: In bekannten sicheren Szenarien, wie z. B. während der Arbeitszeit in einem Unternehmensnetzwerk, müssen sich Benutzer möglicherweise überhaupt nicht authentifizieren. Wie wäre es damit für ein großartiges Benutzererlebnis?
