Kontakt

Blog

Authentifizierung

Multi-Faktor-Authentifizierung: Die sichere Identität als starke Verteidigungslinie

Lesedauer 3 Minuten

Sowohl die Angriffs- als auch die Verteidigungsstrategien in der IT-Sicherheit orientieren sich immer stärker an der Absicherung von Identitäten und Ihren Berechtigungen – denn: Erst der Zugriff auf relevante Daten macht den Angriff lohnenswert.

Starke Identitäten sind auch ein Grundbaustein für Zero-Trust-Strategien. Nur mit einer sicheren Identität können definierte Policies erfolgreich greifen. Multi-Faktor-Authentifizierung gilt schon lange als ein entscheidender Schritt, um die Sicherheit einer Identität und damit einer IT-Umgebung zu erhöhen.

Klassisch ist hier in Ergänzung zu einem Benutzernamen und einem Passwort ein Einmalpasswort (one-time-password, OTP), generiert durch ein Token im Schlüsselanhängerformat:

Etwas, was ich bin (Username)
+
etwas, das ich weiß (Passwort)
+
etwas, das ich habe (Token)

Historisch gab es hier schnell proprietäre Formate durch einzelne Hersteller, die Popularität erlangten, aber auch seit 2005 mit OATH HOTP und später TOTP einen Standard, der schnell bei Backends und Tokenherstellern Einzug hielt.

Diese klassischen Tokenverfahren basieren auf synchronen Schlüsseln, die im Token und im authentifizierenden Server identisch abgelegt sind und als Grundlage zur Generierung von OTPs dienen. Diese synchronen Schlüssel werden heute immer mehr von asynchronen Verfahren wie LinOTP Push-Token oder FIDO-Token abgelöst, um bei einer Komprimierung des Backendservers nicht alle Schlüssel zu verlieren.

Eine beliebte und allgemein bekannte Variante der klassischen Token sind SMS basierte Verfahren: Beim Login wird eine SMS mit dem benötigten Wert an den Benutzer versendet, der dann in das entsprechende Formular übertragen werden muss.

Das war lange, auch in der Finanzbranche mit der mTAN, als ausreichend angesehen. Heute gelten SMS Token nur noch für kurzfristige Einsätze oder Niedrigrisikoanwendungen als akzeptabel, da SIM-Swap-Attacken und Angriffe auf Mobilfunknetze in den letzten Jahren immer wieder erfolgreich ausgeführt worden sind.

Schwächen klassischer Tokenverfahren

Beiden Varianten, klassischen Hardware- und Softwaretoken und SMS Token, ist die Eingabe in einen Login-Dialog gemeinsam – häufig in Webportalen via Browser.

Da vor allem heutige Browser die Session und damit die Kommunikation mit einem Kommunikationspartner nur unzureichend gegen Man-in-the-middle-Attacken absichern, wird die fehlende Transaktionsbindung der klassischen Token zum Schwachpunkt: Ein klassischer OTP-Wert kann für alles eingesetzt werden, wenn er einmal generiert und noch nicht verwendet wurde. Der Angreifer kann dann seinen eigenen Angriff mit einem OTP verifizieren, der für eine eigentlich harmlose Aktion erstellt wurde.

Sicherheit durch transaktionsbasierte Verfahren

Neuere transaktionsbasierte Verfahren machen den Vorgang selbst zum Teil der kryptographischen Verfahren in der Authentifizierung: Ein OTP kann damit nur zu dem Zeitpunkt und für den Zweck eingesetzt werden, für den es gedacht war. Ein Man-in-the-middle wird erschwert oder unmöglich gemacht.

Transaktionsbasierte Verfahren mit asynchronen Schlüsseln sind vor allem aus dem Bankenbereich bekannt (TAN-Verfahren), werden aber auch in der Authentifizierung und der Absicherung von Geschäftsprozessen immer wichtiger. Kryptographisch moderne Token bieten hier Zukunftssicherheit.


Natürlich ist die Auswahl des korrekten Tokens nur ein Aspekt in der erfolgreichen Implementierung eines MFA-Backends mit Zero-Trust und Passwordless Authentication im Hinterkopf. In unserem Webinar zeigen wir am Beispiel unserer Lösung LinOTP was bei einer Implementierung zu beachten ist und wie LinOTP hilft Ihre Infrastruktur mit modernen Verfahren und einem einfachen Management und SelfService abzusichern.

Zum Webinar registrieren

Weitere Beiträge

Alle Artikel ansehen

Im Dezember 2019 veröffentlichte Citrix die als „kritisch“ eingestufte Sicherheitslücke CVE-2019-19781. Betroffen sind Citrix Application Delivery Controller (ADC) und Citrix Gateway (ehemals bekannt unter den Namen Citrix NetScaler ADC und Citrix Netscaler Gateway). Die Sicherheitslücke ermöglicht...

Weiterlesen
Alle Artikel ansehen
Sprechen Sie jetzt mit einem Experten!

Als netgo group bringen wir Menschen und Technologien erfolgreich zusammen. Dabei denken wir ganzheitlich, verstehen das Geschäft unserer Kunden und ebnen den Weg für eine smarte und intelligente Digitalisierung.

Mehr erfahren