Da gestohlene oder kompromittierte Zugangsdaten im Jahr 2024 für 80% der Datenschutzverletzungen verantwortlich sein werden, ist die Abwehr von auf Zugangsdaten basierenden Angriffen von entscheidender Bedeutung für den Schutz des Zugangs zu den Daten, Anwendungen und anderen Ressourcen eines Unternehmens. Der Schlüssel zur Abwehr dieser Art von Angriffen ist die Multi-Faktor-Authentifizierung (MFA), die mehrere Überprüfungsfaktoren erfordert, um Zugang zu sicheren Ressourcen zu erhalten.
Wie der Name schon sagt, erfordern MFA-Authentifizierungsmethoden eine Authentifizierung mit zwei oder mehr Faktoren aus verschiedenen Kategorien: etwas, das Sie wissen (wie ein Passwort, eine PIN oder die Antwort auf eine Sicherheitsfrage), etwas, das Sie haben (wie ein physischer oder virtueller Authentifikator), und/oder etwas, das Sie sind (ein biometrisches Merkmal, das einzigartig für Sie ist). Die Zwei-Faktoren-Authentifizierung (2FA) ist eine Untergruppe der MFA, die genau zwei Faktoren aus verschiedenen Kategorien erfordert. Wenn zusätzliche Faktoren über zwei hinaus hinzugefügt werden, bleibt es MFA.
Während 2FA sicherer ist als nur ein einziger Authentifizierungsfaktor, machen MFA-Methoden die Authentifizierungsumgebung noch sicherer - vor allem, wenn es darum geht, immer raffiniertere Phishing-Kampagnen und andere Arten von Angriffen zu stoppen.
Etwas, das Sie kennen
Kennwörter, PINs, Sicherheitsfragen: Diese wissensbasierten Faktoren gibt es schon so lange, wie sichere Ressourcen geschützt werden müssen. Obwohl es sich dabei um Informationen handelt, die nur ein legitimer Benutzer kennen sollte, ist es oft der Fall, dass auch ein böser Akteur einen Weg zu diesen Informationen gefunden hat - sei es durch Phishing, Brute-Force-Angriffe, Datenlecks oder einfach durch Ausnutzung einer schlechten Passworthygiene (z. B. wenn ein Benutzer immer wieder dieselben Anmeldedaten für alles verwendet).
Man kann es den Benutzern kaum verübeln, wenn sie Anmeldedaten aufschreiben oder wiederverwenden, die Angreifer dann ausnutzen können. Bei so vielen Passwörtern für Geschäftsressourcen, wie sie im Auge behalten müssen, ist es schwer, den Überblick zu behalten.jetzt im Durchschnitt 87, Einer Studie zufolge ist es ohne Hilfe fast unmöglich. Und das macht den Menschen zum schwächsten Glied, wenn es um Cybersicherheit geht.
Angesichts der inhärenten Schwachstellen, die mit der Verwendung von Passwörtern verbunden sind, legen immer mehr Unternehmen den Schwerpunkt auf passwortlose Authentifizierung, Sie verwenden häufig Passkeys, die sich auf biometrische und andere Mechanismen zur Authentifizierung stützen, die nicht auf Passwörtern basieren. Unternehmen setzen auch dynamische Sicherheitsfragen ein, die an den Echtzeitkontext gebunden sind.
Soweit Passwörter heute noch verwendet werden, sind sie fast immer - vor allem in sicherheitssensiblen Branchen - mit zusätzlichen Authentifizierungsfaktoren gekoppelt. So ist es heute wahrscheinlich, dass sich ein Nutzer bei einer Banking-App mit einem Passwort anmelden und zusätzlich einen biometrischen Mechanismus wie Gesichtserkennung verwenden muss, insbesondere wenn ungewöhnliche Aktivitäten festgestellt wurden.
Etwas, das Sie haben
Die "Etwas, das Sie haben"-Faktoren, formal bekannt als Besitzfaktoren, erfordern, dass ein Benutzer ein physisches oder virtuelles Objekt besitzt, das für die Authentifizierung verwendet werden kann. Beispiele hierfür sind:
- Hardware-Authentifikatoren, die One-Time-Passwörter (OTPs) generieren, insbesondere in Hochsicherheitsumgebungen, in denen keine mobilen Geräte verfügbar sind
- Sicherheitsschlüssel, die auf dem U2F-Standard basieren und auch die drahtlose NFC-Technologie unterstützen, so dass sie sowohl in USB- als auch in drahtlosen Umgebungen verwendet werden können
- Chipkarten mit darauf gespeicherten Authentifizierungsdaten für den sicheren Zugang zu Ressourcen
- Phishing-resistente FIDO-Passkeys, die es Nutzern ermöglichen, sich mit biometrischen Daten oder einer PIN anzumelden, anstatt ein Passwort zu verwenden
- Gerätegebundene Passkeys, die mit bestimmten Geräten verknüpft sind (im Interesse einer maximalen Sicherheit können diese nicht über mehrere Geräte hinweg synchronisiert werden)
Etwas, das Sie sind
Wenn Sie Ihr Smartphone mit Gesichtserkennung entsperren oder durch Scannen Ihres Fingerabdrucks Zugang zu einer sicheren App erhalten, verwenden Sie einen auf Inhärenz basierenden Faktor, d. h. "etwas, das Sie sind". Es ist schwer, sich eine bessere Verteidigung vorzustellen, da diese Form der Authentifizierung vollständig auf Ihren eigenen einzigartigen biometrischen Merkmalen beruht, die nahezu unmöglich sind.oder zumindest extrem schwierig-zu reproduzieren. Fingerabdruck- oder Gesichtserkennung, Netzhaut- oder Iris-Scans, Erkennung von Sprachmustern, sogar verhaltensbiometrische Daten wie Tippgeschwindigkeit - all das sind Möglichkeiten, um zu beweisen, dass Sie wirklich Sie sind.
Während inhärenzbasierte Faktoren einige Bedenken hinsichtlich des Datenschutzes aufwerfen können, insbesondere im Hinblick darauf, wie (und wie sicher) die biometrischen Daten gespeichert werden, ist es schwer, die Macht und den Wert von Sicherheit zu leugnen, die auf dem basiert, was Sie sind, anstatt auf dem, was Sie wissen oder haben (und daher vergessen oder verlieren können). Es ist auch ein Bereich, der zu Innovationen einlädt, einschließlich aufkommender Trends wie der kontinuierlichen Authentifizierung auf der Grundlage von Umgebungsfaktoren (eine wichtige Säule von Zero Trust) sowie der Verhaltensbiometrie, die sich auf die Dynamik von Tastenanschlägen und Mausbewegungsmustern konzentriert.
Genehmigen drücken
- Definition: Benachrichtigung auf dem Gerät, in der der Benutzer aufgefordert wird, eine Zugangsanfrage durch Antippen zu genehmigen
- Nutzen: Schnelle, bequeme Möglichkeit, einen zusätzlichen Faktor für die Echtzeit-Authentifizierung bereitzustellen
- Szenario: Zugang zu sicheren mobilen Anwendungen
Einmaliger Passcode (OTP)
- Definition: Automatisch generierter Code, der einen Benutzer für eine Anmeldesitzung authentifiziert
- Vorteil: Authentifizierungsmechanismus, der nur einmal verwendet werden kann, erhöht die Sicherheit
- Szenario: Onlinebanking oder andere sicherheitsrelevante Transaktionen
Biometrische Daten
- Definition: Verwendung eines Geräts oder einer Anwendung, die einen Fingerabdruck oder ein anderes biometrisches Merkmal erkennt
- Vorteil: Bequeme Authentifizierung, die extrem schwer zu fälschen oder zu imitieren ist
- Szenario: Sicherer Zugriff auf ein Gerät oder eine Anwendung
Gerätegebundener Hauptschlüssel
- Definition: Authentifizierungsmethode, die auf einem biometrischen oder einem anderen Mechanismus basiert, der nicht auf einem Passwort beruht
- Vorteil: Geringeres Sicherheitsrisiko als synchronisierte Passkeys, die auf mehreren Geräten verwendet werden
- Szenario: Anwendungen auf Unternehmensebene
Hardware-Authentifikator
- Definition: Ein Token in Form eines kleinen, tragbaren, OTP-generierenden Authentifikators
- Vorteil: Physischer Besitz als zusätzliche Sicherheitsebene
- Szenario: Sichere Umgebungen, in denen mobile Geräte keine Option für die Authentifizierung sind
Software-Authentifikator
- Definition: Ein Token, der als Software-App auf einem Smartphone oder einem anderen Gerät existiert
- Vorteil: Tragbar und einfach zu implementieren
- Szenario: Überall dort, wo firmeneigene oder persönliche Geräte zur Authentifizierung verwendet werden können
Bei der Überlegung, welche MFA-Methode für Ihr Unternehmen am besten geeignet ist, sind mehrere Faktoren zu berücksichtigen, darunter das Risikoniveau und die Sensibilität der Daten, die Benutzerfreundlichkeit und Zugänglichkeit sowie die Kosten und Implementierungsanforderungen. Im Folgenden finden Sie spezifische Fragen, die Sie im Hinblick auf diese Faktoren berücksichtigen sollten.
Kritische Fragen und zu berücksichtigende Empfehlungen
- Benötigen Sie mehrere MFA-Methoden, um den Anforderungen verschiedener Umgebungen gerecht zu werden - vor Ort, remote oder eine Kombination aus beidem? Die Verwendung mehrerer MFA-Methoden, die strategisch ausgewählt und von einem Anbieter bereitgestellt werden, hilft bei der Kostenkontrolle und der Rationalisierung der Implementierung.
- Verwenden Ihre Mitarbeiter an entfernten Standorten nicht verwaltete persönliche Geräte, um sich bei sicheren Ressourcen zu authentifizieren? Vergewissern Sie sich, dass eine der Ihnen zur Verfügung stehenden MFA-Methoden speziell für die Erkennung und Verwaltung von Bedrohungen auf BYOD-Geräten konzipiert ist.
- Arbeiten Sie hauptsächlich in einer Hochsicherheitsumgebung (wie einem Reinraum), in der Mobiltelefone nicht erlaubt sind? MFA-Methoden mit Hardware-Token-Authentifizierung unter Verwendung von Token, die in der Cloud verwaltet werden können, ermöglichen es, die Anforderungen an eine sichere Authentifizierung und eine einfache Verwaltung zu erfüllen.
- Wie sehen Ihre Pläne für die Geschäftskontinuität aus, insbesondere für die Aufrechterhaltung einer starken Authentifizierung und des Zugangs während eines Ausfalls? Ziehen Sie eine hybride Umgebung in Betracht, die bei Bedarf auf MFA-Methoden vor Ort zurückgreifen kann.
- Müssen Sie bestimmte Vorschriften oder Richtlinien einhalten, die für Ihre MFA-Methoden Phishing-Resistenz oder andere spezifische Eigenschaften vorschreiben? Stellen Sie sicher, dass die von Ihnen gewählten MFA-Methoden speziell für die Erfüllung gesetzlicher und anderer Anforderungen konzipiert sind.
Die Bedeutung von MFA-Methoden für die moderne Cybersicherheit kann gar nicht hoch genug eingeschätzt werden, insbesondere angesichts der Vielfalt und Komplexität der heutigen Authentifizierungs- und Bedrohungsumgebungen. Mehrere MFA-Methoden ermöglichen einen mehrschichtigen Ansatz bei der Authentifizierung, bei dem die Verwendung von mehr als einer Methode mehrere Sicherheitsebenen schafft, die es unbefugten Nutzern erschweren, Zugang zu erhalten. Die Verfügbarkeit mehrerer Methoden kann auch die Benutzererfahrung verbessern, da eine breite Palette von Möglichkeiten zur Verfügung steht, um die Authentifizierung an die Bedürfnisse und Umstände der verschiedenen Benutzer anzupassen. Kontakt zur RSA um das Angebot an umfassenden MFA-Lösungen zu erkunden, die Ihnen heute zur Verfügung stehen.
