Was ist mehr-faktor-authentifizierung (MFA)?
- IAM-Glossar
- Was ist mehr-faktor-authentifizierung (MFA)?
Die Mehr-Faktor-Authentifizierung (MFA) ist eine Sicherheitsvorkehrung, bei der Benutzer mehr als eine Authentifizierungsform nutzen müssen, um auf Dienste oder Anwendungen zu zugreifen.
Definition der mehr-faktor-authentifizierung
Hinter MFA steht der Gedanke, dass für den Zugriff auf Dienste oder Anwendungen eine zusätzliche Sicherheitsebene notwendig seins soll, die zur Identitätsbestätigung mehr als nur die traditionelle Benutzername-Passwort-Kombination erfordert. Dieser zusätzliche Identitätsbeweis ist ein sogenannter Authentifizierungsfaktor. Es gibt vier solcher Faktoren:
Etwas, das Sie wissen: Das kann Ihr Passwort, eine PIN oder die Antwort auf eine Sicherheitsfrage sein.
Etwas, das Sie besitzen: Das kann ein physisches Gerät sein, etwa eine Smart-Card, ein USB-Sicherheitsschlüssel oder ein virtueller Code sein, der von einer Authenticator-App auf dem Smartphone des Benutzers erstellt wurde. Die virtuellen Codes heißen Einmalpasswörter (One-Time Password, OTP) oder zeitlich begrenztes Einmalpasswort (Time-based One-time Password, TOTP).
Etwas, das Sie sind: Das wären zum Beispiel biometrische Merkmale wie Fingerabdruck, Gesichtserkennung oder ein Iris-Scan.
Etwas, wo Sie sind: Ihr geografischer Standort. Einige Anwendungen und Dienste sind nur an bestimmten geografischen Orten verfügbar. Dieser besondere Authentifizierungsfaktor wird häufig in Zero-Trust-Sicherheitungsumgebungen eingesetzt.
MFA-Systeme erfordern von Benutzern die Eingabe von mindestens zwei unterschiedlichen Faktoren aus zwei verschiedenen Kategorien. Das folgende Beispiel verdeutlicht das gut:
- Ein System, bei dem ein Benutzer ein Passwort und einen Pin eingeben müssen, ist kein richtiges MFA-System, denn beide Faktoren stammen aus der Kategorie "Etwas, das sie wissen".
- Geldautomaten nutzen MFA schon seit Jahrzehnten. Bei Ihnen ist die Nutzung einer Bankkarte (Etwas, das Sie haben) und die Eingabe einer PIN (Etwas, das Sie wissen) nötig.
Neben Geldautomaten wird MFA auch zum Schutz vieler Onlinekonten genutzt, etwa E-Mail-Konten, Online-Banking, Cloud-Speicher und beim physischen Zugang zu gesicherten Gebäuden und ähnlichen Einrichtungen.
Nicht alle authentifizierungsfaktoren sind gleich gut
Manche MFA-Systeme schicken TOTP-Codes per Anruf, SMS oder E-Mail. Theoretisch sind das valide MFA-Faktoren, aber viele Sicherheitsexperten raten von ihrer Nutzung ab, da sie leicht kompromittiert werden können.
Zur Sicherheit sollten Sie daher auf E-Mails, Anrufe oder SMS für den Erhalt von MFA-Faktoren verzichten, wenn andere Möglichkeiten zur Verfügung stehen. Sicherere Optionen sind biometrische Merkmale, ein physischer Sicherheitsschlüssel oder separate Authentifizierungs-Apps.
Worin unterschieden sich MFA und 2FA?
2FA steht für Zwei-Faktor-Authentifizierung. Der einzige Unterschied zwischen 2FA und MFA besteht darin, dass 2FA eine Authentifizierungsmethode bezeichnet, bei der nur 2 Authentifizierungsfaktoren zum Einsatz kommen. MFA ist ein Überbegriff, der sich auf alle Systeme bezieht, die zwei oder mehr Authentifizierungsfaktoren nutzen.
Der Geldautomat aus dem obigen Beispiel ist daher ein 2FA-Gerät, aber das Verfahren kann ebenso als MFA-System bezeichnet werden. Dagegen wäre ein System, bei dem Benutzer eine Sicherheitskarte, eine PIN und einen Fingerabdruck für den Zugang vorweisen müssen, ein MFA-System und kein 2FA-System.
Welchen schutz bietet MFA?
Kompromittierte Passwörter sind die Hauptursache für Datendiebstähle und Ransomware-Angriffe. MFA verhindert passwortbezogene Cyberangriffe, indem es die Kompromittierung von Zugangsdaten für Angreifer exponentiell erschwert. Auch im Fall, dass ein Angreifer ein gültiges Passwort erlangt, ist es nutzlos ohne den oder die zusätzlichen Authentifizierungsfaktoren. Laut einer Statistik von Microsoft kann MFA 99,99 % aller Kontokompromittierungsangriffe abwenden.
Aus dem Grund spielt MFA in der IT-Sicherheitswelt eine große Rolle. Viele gesetzliche und Industrie-Konformitätsrahmenwerke erfordern von Organisationen, dass sie MFA einführen, um ihre internen Systeme zu schützen. MFA ist auch unverzichtbar bei der Implementierung des Zero-Trust-Sicherheitsrahmenwerks, bei dem sich Benutzer explizit identifizieren müssen.
Die Einführung von MFA kann zudem das Benutzervertrauen in Systeme steigern, da es zeigt, dass die Organisation die Sicherheit ernst nimmt und sich effektiv für den Schutz von Benutzerdaten einsetzt.
Wie kann ich mehr-faktor-authentifizierung implementieren?
Für die persönliche Nutzung
Einzelpersonen können 2FA/MFA für alle Webseiten und Apps aktivieren, die die Verfahren unterstützen, um ihre persönlichen Konten besser vor Cybergefahren zu schützen. Viel Webseiten und Anwendungen führen Benutzer bei der Kontoerstellung durch den Aktivierungsprozess. Ansonsten können sie auch Hilfsressourcen der Webseite oder App zurate ziehen.
Denken Sie daran, möglichst auf E-Mail, SMS oder Anrufe für die Zusendung des Authentifizierungsfaktors zu verzichten, wenn die Webseite oder App andere Möglichkeiten zulässt.
Für Unternehmensnutzer
Die Schritte zur Implementierung von MFA unterschieden sich je nach Organisation und deren speziellen Anforderungen und Möglichkeiten. Es wird empfohlen, sich Hilfe von Sicherheitsexperten für die Einrichtung zu holen, wenn Sie unsicher über das Verfahren sind. Im Folgenden finden Sie eine allgemeine Übersicht der notwendigen Schritte:
Ermitteln Sie die notwendigen Authentifizierungsfaktoren: Entscheiden Sie sich, welche Authentifizierungsfaktoren Sie für die Einhaltung Ihrer Sicherheitsanforderungen und unter Beachtung der verfügbaren Möglichkeiten benötigen. Denken Sie daran, Authentifizierungsfaktoren von mindestens zwei verschiedenen Kategorien zu nutzen und vermeiden Sie die Nutzung von E-Mail, SMS oder Anrufen für die Zusendung der Faktoren.
Wählen Sie Ihre MFA-Lösung: Es gibt eine Vielzahl von kommerziellen und quelloffenen MFA-Lösungen. Wählen Sie eine Lösung aus, die die Authentifizierungsfaktoren ermöglicht, die Sie festgelegt haben, und die zu ihrem Budget und technischen Möglichkeiten passt.
Integrieren Sie die MFA-Lösung in Ihre Systeme: Das kann die Integration der MFA-Lösung in Ihr bestehendes Authentifizierungssystem oder den Ersatz des bestehenden Systems mit einer MFA-fähigen Lösung sein. Möglicherweise müssen Sie Anwendungsprogrammcode oder die Netzwerkinfrastruktur entsprechend anpassen.
Binden Sie Ihre Benutzer ein: Nachdem Sie die MFA-Lösung in Ihr System integriert haben, können Sie Ihre Benutzer darin einbinden, indem diese von nun an zusätzliche Authentifizierungsfaktoren für Anmeldungen angeben müssen.
Überwachen und pflegen Sie die MFA-Lösung: Überprüfen Sie regelmäßig, ob es bei der MFA-Lösung Leistungs- oder Sicherheitsprobleme gibt, und aktualisieren Sie die Software, damit sie weiterhin effektiv arbeiten kann.