Der Hauptzweck der Verwendung von Multi-Faktor-Authentifizierungssoftware (MFA) besteht darin, die Sicherheit beim Einloggen in Konten zu erhöhen. Unternehmen nutzen diese Software, um sicherzustellen, dass nur autorisierte Benutzer – wie Mitarbeiter, Auftragnehmer oder Kunden – sicheren Zugang zu bestimmten Unternehmenskonten haben. Dies hilft, sowohl interne Bedrohungen, wie unbefugte Mitarbeiter, die auf sensible Daten zugreifen, als auch externe Bedrohungen, wie Cyberkriminelle, die Phishing-Angriffe für Datenverletzungen einsetzen, daran zu hindern, auf eingeschränkte Konten zuzugreifen.
MFA erfordert, dass Benutzer zusätzliche Authentifizierungsschritte durchführen, um ihre Identität zu beweisen, bevor ihnen Zugang zu Anwendungen, Systemen oder sensiblen Informationen gewährt wird. Die Software sichert Konten, indem sie zusätzliche Sicherheit durch einen mehrschichtigen, mehrstufigen Authentifizierungsansatz bietet. Im Allgemeinen umfasst der erste Schritt zur Authentifizierung der Identität eines Benutzers einen Standard-Benutzernamen und ein Passwort-Login-Verfahren. Nach diesem ersten Login-Versuch könnte der zweite Schritt erfordern, dass Benutzer einen Code eingeben, der von einer Software-App auf einem mobilen Gerät bereitgestellt wird, ein Hardware-Token wie ein Schlüsselanhänger oder ein Code, der einem Benutzer per (SMS) Textnachricht, E-Mail oder Telefonanruf gesendet wird. Andere Authentifizierungsschritte könnten die Vorlage eines biometrischen Merkmals wie eines Fingerabdrucks oder eines Gesichtsdrucks umfassen oder andere identifizierende Signale wie die typische IP-Adresse des Benutzers, ihre Geräte-ID oder über Verhaltensfaktoren, die von risikobasierten Authentifizierungstools (RBA) überprüft werden.
Wofür steht MFA?
MFA steht für Multi-Faktor-Authentifizierung. Es erfordert zwei oder mehr verschiedene Authentifizierungsfaktoren. Diese Software kann auch als Zwei-Faktor-Authentifizierung (2FA) oder Zwei-Schritt-Verifizierung bezeichnet werden, wenn genau zwei verschiedene Authentifizierungsfaktoren verwendet werden.
Was sind die Authentifizierungsfaktoren?
MFA-Software erfordert, dass Benutzer sich mit einigen oder allen der folgenden fünf Faktoren authentifizieren:
Ein-Faktor-Authentifizierung: Die Ein-Faktor-Authentifizierung erfordert, dass Benutzer sich mit etwas authentifizieren, das sie wissen. Die häufigste Ein-Faktor-Authentifizierung ist die passwortbasierte Authentifizierung. Dies wird als unsicher angesehen, da viele Menschen schwache Passwörter oder Passwörter verwenden, die leicht kompromittiert werden können.
Zwei-Faktor-Authentifizierung: Die Zwei-Faktor-Authentifizierung erfordert, dass Benutzer sich mit etwas authentifizieren, das sie haben. Es erfordert, dass Benutzer die Informationen bereitstellen, die sie haben, in der Regel einen Code, der von einer Authentifizierungs-App auf ihren mobilen Geräten, SMS oder Textnachricht, Software-Token (Soft-Token) oder Hardware-Token (Hard-Token) bereitgestellt wird. Der bereitgestellte Code kann entweder ein HMAC-basierter Einmalpasswort (HOTP) sein, der nicht abläuft, bis er verwendet wird, oder ein zeitbasierter Einmalpasswort (TOTP), der in 30 Sekunden abläuft.
Drei-Faktor-Authentifizierung: Die Drei-Faktor-Authentifizierung erfordert, dass Benutzer sich mit dem authentifizieren, was sie sind. Es berücksichtigt etwas Einzigartiges für den Benutzer, wie biometrische Faktoren. Diese können Fingerabdruckscans, Fingergeometrie, Handflächen- oder Handgeometriescans und Gesichtserkennung umfassen. Die Verwendung von Biometrie zur Authentifizierung wird immer häufiger, da biometrische Logins auf mobilen Geräten, einschließlich Gesichtserkennungssoftware und Fingerabdruck-Scan-Funktionen, bei Verbrauchern an Beliebtheit gewonnen haben. Andere biometrische Authentifizierungsmethoden, wie Ohrform-Erkennung, Stimmabdrücke, Netzhautscans, Irisscans, DNA, Geruchsidentität, Gangmuster, Venenmuster, Handschrift- und Signaturanalyse und Tippverhaltenserkennung, wurden noch nicht weitgehend für MFA-Zwecke kommerzialisiert.
Vier-Faktor-Authentifizierung: Die Vier-Faktor-Authentifizierung erfordert, dass Benutzer sich mit dem authentifizieren, wo sie sind und wann. Es berücksichtigt den geografischen Standort eines Benutzers und die Zeit, die sie benötigt haben, um dorthin zu gelangen. In der Regel erfordern diese Authentifizierungsmethoden nicht, dass ein Benutzer diese Informationen aktiv authentifiziert, sondern dies läuft im Hintergrund, wenn das Authentifizierungsrisiko eines bestimmten Benutzers bestimmt wird. Die Vier-Faktor-Authentifizierung überprüft die Geolokalisierung eines Benutzers, die darauf hinweist, wo sie sich derzeit befinden, und ihre Geo-Geschwindigkeit, die die angemessene Zeit ist, die eine Person benötigt, um zu einem bestimmten Ort zu reisen. Zum Beispiel, wenn ein Benutzer sich mit einem MFA-Softwareanbieter in Chicago authentifiziert und 10 Minuten später versucht, sich aus Moskau zu authentifizieren, gibt es ein Sicherheitsproblem.
Fünf-Faktor-Authentifizierung: Die Fünf-Faktor-Authentifizierung erfordert, dass Benutzer sich mit etwas authentifizieren, das sie tun. Es bezieht sich auf spezifische Gesten oder Berührungsmuster, die Benutzer erzeugen. Zum Beispiel können Benutzer mit einem relativ neuen Betriebssystem, das die Funktion unterstützt, ein Bildpasswort erstellen, bei dem sie Kreise zeichnen, gerade Linien ziehen oder ein Bild antippen, um ein einzigartiges Gestenpasswort zu erstellen.
Welche Arten von Multi-Faktor-Authentifizierungssoftware (MFA) gibt es?
Es gibt mehrere Arten von MFA-Software. Zusätzlich zur Standard-MFA-Funktionalität bewegen sich viele Unternehmen in Richtung RBA-Software, auch bekannt als intelligente MFA, die Risikobewertung verwendet, um zu bestimmen, wann Benutzer zur Authentifizierung aufgefordert werden sollen. Die verschiedenen Arten von Authentifizierungsmethoden können umfassen:
Mobile Apps: Eine gängige Methode, die Benutzer bevorzugen, um sich zu authentifizieren, ist die Verwendung der mobilen App der MFA-Software.
Software-Token: Software-Token ermöglichen es Benutzern, MFA-Mobile-Apps einschließlich tragbarer Geräte zu verwenden. Die Verwendung von Software-Token wird als sicherer angesehen als die Verwendung von OTP über SMS, da diese Nachrichten von Hackern abgefangen werden können. Software-Token können offline verwendet werden, was es für Endbenutzer bequem macht, die möglicherweise keinen Zugang zum Internet haben.
Push-Benachrichtigungen: Push-Benachrichtigungen machen die Authentifizierung für Endbenutzer einfach. Eine Benachrichtigung wird an das mobile Gerät eines Benutzers gesendet, in der sie aufgefordert werden, die Authentifizierungsanfrage zu genehmigen oder abzulehnen. Komfort ist entscheidend für die Benutzerakzeptanz von MFA-Tools.
Hardware-Token: Hardware-Token sind Hardwareteile, die Benutzer mit sich führen, um ihre Identität zu authentifizieren. Beispiele sind OTP-Schlüsselanhänger, USB-Geräte und Smartcards. Häufige Probleme mit Hardware-Token sind die Kosten der Hardware sowie die zusätzlichen Kosten für Ersatz, wenn Benutzer sie verlieren.
Einmalpasswörter (OTP) über SMS, Sprache oder E-Mail: Benutzer, die keine mobilen Apps auf ihren Telefonen verwenden können, können sich für die Verwendung von OTP entscheiden, die über SMS-Textnachricht, Sprachanruf oder E-Mail an ihre mobilen Geräte gesendet werden. Das Empfangen von Authentifizierungscodes über SMS wird jedoch als eine der unsichersten Methoden zur Authentifizierung von Benutzern angesehen.
Risikobasierte Authentifizierung (RBA) Software: RBA, auch bekannt als intelligente oder adaptive MFA, verwendet Echtzeitinformationen über Endbenutzer, um ihr Risiko zu bewerten und sie bei Bedarf zur Authentifizierung aufzufordern. RBA-Software analysiert IP-Adressen, Geräte, Verhaltensweisen und Identitäten, um personalisierte Authentifizierungsmethoden für jeden einzelnen Benutzer festzulegen, der versucht, auf das Netzwerk zuzugreifen.
Passwortlose Authentifizierung: Passwortlose Authentifizierung, auch bekannt als unsichtbare Authentifizierung, basiert auf RBA-Faktoren wie Standort, IP-Adresse und anderen Benutzerverhalten. Push-Benachrichtigungen werden als passwortlose Authentifizierung angesehen, da ein Benutzer keinen Code eingeben muss, sondern lediglich aufgefordert wird, eine Authentifizierungsanfrage zu akzeptieren oder abzulehnen.
Biometrie: Biometrische Authentifizierungsfaktoren, wie Gesichts- und Fingerabdruckerkennung, gewinnen bei Verbrauchern an Beliebtheit, und daher beginnen MFA-Softwareanbieter, sie zu unterstützen. Derzeit sind andere biometrische Faktoren, wie Irisscans, in MFA-Tools nicht verfügbar. Ein Problem bei der Verwendung von Biometrie zur Authentifizierung ist, dass sie, sobald sie kompromittiert sind, für immer kompromittiert sind.
MFA als Dienstleistung: In Verbindung mit den cloudbasierten Verzeichnissen eines Unternehmens bieten einige MFA-Anbieter eine cloudbasierte MFA als Dienstleistungslösung an. Diese unterstützen oft mehrere Authentifizierungsmethoden, einschließlich Push-Benachrichtigungen, Software-Token, Hardware-Token, Online- und Offline-Authentifizierung und Biometrie.
On-Premises-MFA: On-Premises-MFA-Lösungen laufen auf dem Server eines Unternehmens. Viele Softwareanbieter stellen diese Art von MFA-Lösungen ein und drängen Kunden zu cloudbasierten Lösungen.
Offline-verfügbare MFA: Benutzer, die sich authentifizieren müssen, aber keinen Zugang zum Internet haben, können MFA-Lösungen mit Offline-Unterstützung verwenden. Zum Beispiel arbeiten viele Bundesangestellte in kontrollierten, sicheren Umgebungen und haben möglicherweise keinen Zugang zum Internet. Zivile Bundesangestellte könnten persönliche Identifikationskarten (PIV) zur Authentifizierung verwenden, während Mitarbeiter des Verteidigungsministeriums eine gemeinsame Zugangskarte (CAC) zur Authentifizierung verwenden. Für allgemeine Zivilisten können sie sich offline mit einer mobilen App authentifizieren, die Offline-Zugriff auf OTPs hat oder eine hardwarebasierte U2F-Sicherheitsschlüssel verwendet.
Unternehmenslösungen: Unternehmen, die MFA-Bereitstellungen für viele Benutzer verwalten, benötigen robuste Lösungen und entscheiden sich für Software mit Administrator-Konsolen, Endpunkt-Sichtbarkeit und Verbindung mit Single Sign-On (SSO) Software.
