Multi-Faktor-Authentifizierung (MFA)-oder die Verwendung von mehr als einem Identifizierungsfaktor, wenn jemand Zugang zu sicheren Ressourcen beantragt, ist entscheidend für die Vereitelung von Angriffen im Zusammenhang mit Anmeldedaten, die Einhaltung von Cybersicherheitsvorschriften und die Sicherheit von Ressourcen. Durch die Anforderung eines zusätzlichen Authentifizierungsfaktors (oder mehrerer Faktoren) über eine einfache Benutzername/Passwort-Kombination hinaus schafft MFA eine weitere Hürde für potenzielle Angreifer, die versuchen, Zugang zu erhalten. MFA hat sich seit ihrer breiten Einführung in den letzten Jahrzehnten als äußerst effektiv erwiesen; in einer Studie erwies sie sich als erfolgreich bei mehr als 99,99% der Konten sicher zu halten.
Die Effektivität von MFA beim Stoppen von Angriffen inspiriert Angreifer dazu, immer komplexere Taktiken zu entwickeln und neue Angriffswege zu schaffen, um die Verteidigungsmaßnahmen eines Unternehmens zu umgehen. Die gute Nachricht ist, dass sich MFA auch ständig an die neuen Herausforderungen anpasst. In diesem Beitrag werfen wir einen Blick auf die MFA-Trends, die sich am Horizont abzeichnen, einschließlich der Herausforderungen, denen MFA Rechnung tragen muss, neuer MFA-Methoden und der Überlegungen, die Unternehmen bei der Bewertung von MFA-Innovationen anstellen müssen.
1. Adaptive Authentifizierung
Die adaptive Authentifizierung hat sich aus der traditionellen MFA entwickelt, um die Sicherheit zu erhöhen, ohne den Aufwand für die Benutzer zu vergrößern. Es handelt sich dabei um eine fortschrittliche Form der MFA, die dynamisch auf die Vorlage von Anmeldeinformationen für den Zugriff reagiert, basierend auf dem mit dem Zugriffsversuch verbundenen Risikoniveau. Wenn Sie sich beispielsweise mit Ihrem üblichen Gerät von Ihrem üblichen Standort aus anmelden, erkennt die adaptive MFA dies und gewährt den Zugriff, ohne einen zusätzlichen Authentifizierungsfaktor zu verlangen.
Wenn Sie sich jedoch von einem nicht erkannten Gerät an einem unbekannten Ort anmelden oder einen anderen Browser oder ein anderes Netzwerk als üblich verwenden, kann die adaptive MFA Sie auffordern, einen zusätzlichen Authentifizierungsfaktor anzugeben. Manchmal wird dieser zusätzliche Faktor als "Step-up-Authentifizierung" bezeichnet, da die Authentifizierungsanforderungen des Systems in Echtzeit mit dem Risiko steigen. Da sich die Bedrohungen ständig weiterentwickeln, erwarten wir, dass immer mehr Unternehmen die adaptive Authentifizierung einsetzen, um sicherzustellen, dass ihre Sicherheit mit den Bedrohungen Schritt hält.
Adaptive MFA bietet mehr Sicherheit als statische Authentifizierungsmethoden und -richtlinien. Durch die dynamische Anpassung an Bedrohungen in Echtzeit kann adaptive MFA ausgeklügelte Angriffe wie Credential Stuffing und Phishing erkennen und abwehren und die MFA-Müdigkeit das mit Angreifern in Verbindung gebracht wird, die Benutzer mit Authentifizierungsaufforderungen bombardieren, um einen böswilligen Anmeldeversuch zu ermöglichen. Die adaptive Authentifizierung verbessert nicht nur die Sicherheit, sondern auch die Benutzerfreundlichkeit, indem sie die Anzahl der Verifizierungsaufforderungen reduziert, mit denen die Benutzer bei der Authentifizierung konfrontiert werden.
2. Kontextabhängige Authentifizierung
Die kontextabhängige Authentifizierung ist eine Komponente der adaptiven Authentifizierung, von der zu erwarten ist, dass sie zu einer tragenden Säule der MFA wird. Im Gegensatz zur adaptiven Authentifizierung analysiert die kontextbezogene Authentifizierung verschiedene Datenpunkte, um Authentifizierungsentscheidungen zu treffen, darunter:
- Gerätetyp: Kommt die Anmeldung von einem bekannten Gerät?
- Standort: Meldet sich der Benutzer von einem bekannten Standort aus an?
- IP-Adresse: Ist die IP-Adresse mit einem VPN verbunden?
- Uhrzeit des Zugriffs: Erfolgt die Anmeldung zu einer ungewöhnlichen Zeit?
- Verhalten: Entspricht die Tippgeschwindigkeit oder die Mausbewegung dem üblichen Verhalten?
Sowohl die kontextabhängige als auch die adaptive Authentifizierung analysieren Anmeldeinformationen, aber es gibt einen großen Unterschied zwischen beiden: Die kontextbezogene Authentifizierung prüft und berichtet über Anmeldebedingungen, passt die Sicherheit aber nicht unbedingt dynamisch auf der Grundlage des erkannten Kontexts an, sondern überlässt es dem Menschen, auf die Informationen zu reagieren. Bei der adaptiven Authentifizierung hingegen handelt es sich um eine KI-gesteuerte Echtzeitfunktion, die die Authentifizierung ändern und Risikoanpassungen im Moment vornehmen kann, einschließlich der automatischen Blockierung von Anmeldungen mit hohem Risiko.
3. Passwortlose Authentifizierung
Für Benutzer schwer zu merken und für Angreifer leicht zu erraten, sind Passwörter zu einer Schwachstelle bei der Authentifizierung geworden, insbesondere da die Zahl der Ressourcen, die einen sicheren Zugang erfordern, sprunghaft ansteigt. Passwortlose Authentifizierung Dieses Dilemma wird durch die Verifizierung von Identitäten ohne Verwendung von Passwörtern gelöst. Passwortlose Authentifizierungsprozesse verwenden eine breite Palette von Faktoren, die nicht auf Passwörtern basieren, darunter bewährte Hardware-Tokens, generierte Einmal-Passcodes (OTPs) und App-basierte Aktionen wie Push-to-Approve. Je mehr passwortlose Optionen zur Verfügung stehen, desto größer ist die Chance für Unternehmen, passwortlose Umgebungen auf ihre spezifischen Bedürfnisse oder auf bestimmte Benutzergruppen zuzuschneiden.
Die passwortlose Authentifizierung wird immer ausgefeilter und effektiver. Ein Trend, der unserer Meinung nach die Entwicklung von MFA beeinflusst, ist, dass immer mehr Unternehmen passwortlose Methoden verwenden, um die Benutzererfahrung zu verbessern. Es ist beispielsweise zu erwarten, dass Unternehmen zunehmend zu passwortlosen Anmeldungen über biometrische Verfahren übergehen, um interne Systeme besser zu schützen, Phishing zu bekämpfen und ihre Zero-Trust-Position zu verbessern.
Passwörter bieten einen weiteren Weg zur Verbesserung der Unternehmenssicherheit durch passwortlose Authentifizierungsmethoden. Einst in erster Linie mit der Erfahrung von Verbrauchern assoziiert, sind sie zunehmend Teil der Zukunft von MFA, insbesondere im Unternehmenseinsatz. Der Schlüssel zum erfolgreichen Einsatz von Passkeys liegt in der Nutzung von Lösungen, die für den Unternehmenseinsatz geeignet sind und die Sicherheit maximieren.
Zu diesem Zweck sollten Unternehmen in der Regel Folgendes verwenden gerätegebundene Passkeys statt Passkeys, die frei über mehrere Geräte hinweg synchronisiert werden.
4. Dezentralisierte Identität (DID)
Die Kombination von dezentralisierte Identität (DID) und Blockchain-Technologie wird die Entwicklung der MFA beeinflussen. In einer DID-Umgebung besitzen und kontrollieren die Nutzer ihre Identität selbst, anstatt sich auf eine zentralisierte Behörde wie eine Datenbank oder eine große Technologieplattform zu verlassen. Anstatt sich beispielsweise mit einem Unternehmenskonto bei einer Ressource anzumelden, kann ein Benutzer verifizierte Anmeldedaten zu einer dezentralen Brieftasche hinzufügen und die Blockchain als fälschungssicheres Hauptbuch für Authentifizierungsdatensätze verwenden.
Ein DID + Blockchain-Ansatz hat das Potenzial, die MFA in mehrfacher Hinsicht zu verbessern. Durch den Wegfall einer zentralen Behörde, die Authentifizierungsdaten kontrolliert, wird das Risiko von Datenschutzverletzungen verringert. Er unterstützt auch die passwortlose Authentifizierung, indem er die Identität durch in der Blockchain gespeicherte kryptografische Schlüssel verifiziert. Und da für die Authentifizierung sicher gespeicherte private Schlüssel verwendet werden, können Phishing-Angriffe unwirksam gemacht werden.
5. Aufkommende Technologien in der MFH
Mehrere aufkommende Technologien haben ein enormes Potenzial, sich auf die MFA auszuwirken - sowohl zum Guten als auch zum Schlechten. Auf der positiven Seite, AI trägt zur proaktiven, adaptiven und automatisierten Erkennung von Bedrohungen bei. Da sich Cyber-Bedrohungen weiterentwickeln, werden KI-gesteuerte Systeme der Schlüssel zur Echtzeit-Abwehr von Bedrohungen sein. Die Medaille hat jedoch auch eine Kehrseite: Cyberangreifer können KI auch nutzen, um neue und leistungsfähigere Bedrohungsmechanismen zu entwickeln. Bemerkenswert ist jedoch, dass die große Mehrheit der Cybersicherheitsexperten in einer kürzlich durchgeführten RSA-Umfrage (80%) berichten, dass sie davon ausgehen, dass KI in den nächsten Jahren mehr zur Verbesserung der Cybersicherheit als zur Unterstützung von Cyberkriminellen beitragen wird.
Die Verwendung von IoT und vernetzten Geräten als MFA-Faktoren birgt ebenfalls sowohl potenzielle Vorteile als auch potenzielle Gefahren für die Authentifizierung. IoT-Geräte spielen eine Schlüsselrolle bei der Ermöglichung von Authentifizierung in der Nähe (z. B. Smartwatches zum Entsperren von Laptops), kontextbezogenem Zugriff (bei dem IoT-Sensoren Benutzer anhand ihres Standorts und anderer Faktoren verifizieren) und Zero-Touch-Authentifizierung, bei der Geräte automatisch autorisierte Benutzer erkennen. Gleichzeitig kann das IoT jedoch aufgrund seiner Vernetzung mit mehreren Geräten und Ressourcen auch mehr Wege für die Einführung von Authentifizierungsrisiken eröffnen.
Ein Bereich der aufkommenden Technologien, der eindeutig ein potenzielles Problem für MFA darstellt, ist das Quantencomputing, das eine ernsthafte Bedrohung für die Verschlüsselungstechniken darstellt, die MFA-Systeme sichern. Glücklicherweise gibt es jedoch keine nachweisbaren Anwendungen von Quantencomputern, um die Verschlüsselung oder MFA zu knacken. Und angesichts der Tatsache, dass Quanteninformatik mehr Ressourcen erfordert, als derzeit verfügbar sind, steckt die Technologie noch in den Kinderschuhen - und alle Risiken, die sie für MFA oder Verschlüsselung darstellt, sind noch rein theoretisch. Das NIST hat erklärt, dass 2048-Bit-Schlüssel bis mindestens 2030 weiterhin ausreichenden Schutz bieten sollten, und die meisten modernen Webbrowser können 4096-Bit-Schlüssel unterstützen, falls dies erforderlich sein sollte.
Darüber hinaus wird bereits daran gearbeitet, MFA quantenresistent zu machen. So unternimmt das NIST Schritte, um quantenresistente Verschlüsselungsalgorithmen zu standardisieren, die quantensichere MFA-Protokolle erstellen. Die Behörde hat neue Post-Quantum-FIPS-Verschlüsselungsstandards veröffentlicht (FIPS 203, FIPS 204, und FIPS 205). Unternehmen sollten diese Leitlinien prüfen und noch heute mit deren Umsetzung beginnen.
Wie stellen Sie sicher, dass Ihre Authentifizierungsfunktionen den heutigen Herausforderungen von MFA gewachsen sind - und den neuen Risiken, die sich zur Umgehung von MFA entwickeln?
Ihre Verteidigung beginnt damit, dass Sie sich dieser Trends bewusst sind und sie im Auge behalten - und setzt sich fort, indem Sie die richtigen Schritte unternehmen, um ihnen voraus zu sein. Das bedeutet, dass Sie MFA-Fortschritte wie die adaptive Authentifizierung übernehmen, zur passwortlosen Authentifizierung übergehen und neue MFA-Technologien erforschen, um die Vorteile und Risiken zu verstehen, die sie mit sich bringen können. Wie immer ist RSA hier, um zu helfen.
