Kontakt

Security

Multi-Faktor-Authentifizierung: Die sichere Identität als starke Verteidigungslinie

Sowohl die Angriffs- als auch die Verteidigungsstrategien in der IT-Sicherheit orientieren sich immer stärker an der Absicherung von Identitäten und Ihren Berechtigungen – denn: Erst der Zugriff auf relevante Daten macht den Angriff lohnenswert.

Lesedauer 3 Minuten

Starke Identitäten sind auch ein Grundbaustein für Zero-Trust-Strategien. Nur mit einer sicheren Identität können definierte Policies erfolgreich greifen.

Multi-Faktor-Authentifizierung gilt schon lange als ein entscheidender Schritt, um die Sicherheit einer Identität und damit einer IT-Umgebung zu erhöhen.

Klassisch ist hier in Ergänzung zu einem Benutzernamen und einem Passwort ein Einmalpasswort (one-time-password, OTP), generiert durch ein Token im Schlüsselanhängerformat:

Etwas, was ich bin (Username)
+
etwas, das ich weiß (Passwort)
+
etwas, das ich habe (Token)

Historisch gab es hier schnell proprietäre Formate durch einzelne Hersteller, die Popularität erlangten, aber auch seit 2005 mit OATH HOTP und später TOTP einen Standard, der schnell bei Backends und Tokenherstellern Einzug hielt.

Diese klassischen Tokenverfahren basieren auf synchronen Schlüsseln, die im Token und im authentifizierenden Server identisch abgelegt sind und als Grundlage zur Generierung von OTPs dienen. Diese synchronen Schlüssel werden heute immer mehr von asynchronen Verfahren wie LinOTP Push-Token oder FIDO-Token abgelöst, um bei einer Komprimierung des Backendservers nicht alle Schlüssel zu verlieren.

Eine beliebte und allgemein bekannte Variante der klassischen Token sind SMS basierte Verfahren: Beim Login wird eine SMS mit dem benötigten Wert an den Benutzer versendet, der dann in das entsprechende Formular übertragen werden muss.

Das war lange, auch in der Finanzbranche mit der mTAN, als ausreichend angesehen. Heute gelten SMS Token nur noch für kurzfristige Einsätze oder Niedrigrisikoanwendungen als akzeptabel, da SIM-Swap-Attacken und Angriffe auf Mobilfunknetze in den letzten Jahren immer wieder erfolgreich ausgeführt worden sind.

Schwächen klassischer Tokenverfahren

Beiden Varianten, klassischen Hardware- und Softwaretoken und SMS Token, ist die Eingabe in einen Login-Dialog gemeinsam – häufig in Webportalen via Browser.

Da vor allem heutige Browser die Session und damit die Kommunikation mit einem Kommunikationspartner nur unzureichend gegen Man-in-the-middle-Attacken absichern, wird die fehlende Transaktionsbindung der klassischen Token zum Schwachpunkt: Ein klassischer OTP-Wert kann für alles eingesetzt werden, wenn er einmal generiert und noch nicht verwendet wurde. Der Angreifer kann dann seinen eigenen Angriff mit einem OTP verifizieren, der für eine eigentlich harmlose Aktion erstellt wurde.

Sicherheit durch transaktionsbasierte Verfahren

Neuere transaktionsbasierte Verfahren machen den Vorgang selbst zum Teil der kryptographischen Verfahren in der Authentifizierung: Ein OTP kann damit nur zu dem Zeitpunkt und für den Zweck eingesetzt werden, für den es gedacht war. Ein Man-in-the-middle wird erschwert oder unmöglich gemacht.

Transaktionsbasierte Verfahren mit asynchronen Schlüsseln sind vor allem aus dem Bankenbereich bekannt (TAN-Verfahren), werden aber auch in der Authentifizierung und der Absicherung von Geschäftsprozessen immer wichtiger. Kryptographisch moderne Token bieten hier Zukunftssicherheit.


Natürlich ist die Auswahl des korrekten Tokens nur ein Aspekt in der erfolgreichen Implementierung eines MFA-Backends mit Zero-Trust und Passwordless Authentication im Hinterkopf. In unserem Webinar zeigen wir am Beispiel unserer Lösung LinOTP, wie MFA-Lösungen die Sicherheit Ihrer Konten signifikant verbessern und veranschaulichen anhand konkreter Implementierungsbeispiele für SAML und ADFS, wie sowohl die Integration von on-premise Lösungen als auch die Integration von Cloud-Applikationen in IT-Umgebungen aussehen kann.

Weitere Beiträge

Alle Artikel ansehen

Security

21 Februar 2024

NIS-2-Anforderungen: Was müssen Unternehmen wissen?

Mit der NIS-2-Richtlinie zur Stärkung der Cyber-Security und ihren entsprechenden Anforderungen sehen sich zahlreiche Unternehmen aus unterschiedlichen Branchen vor einer Herausforderung in 2024. NIS-2 dürfte vielen Organisationen bereits...
Weiterlesen

Security

31 Januar 2024

Das Einmaleins der Passwortsicherheit - Wie Sie Ihre Unternehmensdaten schützen

Auch im Jahr 2024 nimmt die Passwortsicherheit einen hohen Stellwert in der IT Security ein. Für Unternehmen ist es von höchster Bedeutung, sichere Passwörter zu verwenden, um Unternehmensinformationen bestmöglich vor Angreifern zu...
Weiterlesen

Cloud, 

Security

3 April 2023

Hackerangriff? Alles eine Frage der Vorbereitung

Schwarzer Bildschirm, verschlüsselte Server, nichts geht mehr: In Deutschland steigt die Zahl der Cyberangriffe seit Jahren und besonders kleine und mittelständische Unternehmen sind für Cyberkriminelle ein beliebtes Ziel, da hier mitunter...
Weiterlesen

Sprechen Sie jetzt mit unseren Experten

Als erfahrener Partner bieten wir Unternehmen ganzheitliche Sicherheitslösungen, die Ihre gesamte IT-Landschaft absichern.
Gerne unterstützen wir Sie bei der Planung und Umsetzung Ihrer Projekte und sind dabei persönlich und regional für Sie da!

Jetzt beraten lassen