Der passwortlosen Multifaktor-Authentifizierung (MFA) gehört die Zukunft

bei

 / 18. November. 2021

Seit Jahrzehnten sind Passwörter das De-facto-Verfahren für die Identitätsauthentifizierung. Ob bei der Anmeldung in sozialen Medien oder beim Zugriff auf wichtige Unternehmensanwendungen – jeder ist es gewohnt, täglich mehrere Passwörter einzugeben. Leider sind Passwörter nicht nur allgegenwärtig, sondern auch schon lange nicht mehr zweckmäßig.

Zum einen werden jeden Tag unzählige Passwörter von Cyberkriminellen gestohlen. Aktuelle listet https://haveibeenpwned.com/Passwords etwa 613 Millionen kompromittierte Passwörter auf. Und das sind nur die, von denen sie wissen.

Erschwerend kommt hinzu, dass jedes dieser Passwörter oft der Schlüssel zum Entsperren mehrerer Anwendungen ist. Angesichts der Notwendigkeit, sich täglich bei Dutzenden von Diensten und Anwendungen anzumelden, neigen Benutzer dazu, dieselben paar Passwortkombinationen an mehreren Orten wiederzuverwenden und sie oft auch im Privat- und Berufsleben zu verwenden. Mehr als die Hälfte der Arbeitnehmer gibt sogar zu, dass sie ihre Passwörter für mehrere Arbeitskonten wiederverwenden. Eine einzige Datenbank, die von einer unzureichend gesicherten Website gestohlen wurde, kann zu einer Vielzahl von Sicherheitsverletzungen an verschiedenen anderen Stellen führen.

Die Multifaktor-Authentifizierung (MFA) wird oft als eine der besten Lösungen für dieses Problem angepriesen. Doch leider gibt es auch bei den herkömmlichen Formen der MFA Probleme, die Unternehmen sehr anfällig für Angriffe machen können. MFA ist zwar besser als Passwörter allein, aber keineswegs der ideale Schutzmechanismus, wie viele glauben. Unternehmen benötigen aber einen effektiveren Ansatz für die Authentifizierung.

Herkömmliche MFA ist nicht unbesiegbar

Viele herkömmliche MFA-Ansätze beginnen mit dem Kennwort als erstem Authentifizierungsfaktor und verlangen dann von den Benutzern, dass sie ihre Identität durch einen zweiten Faktor verifizieren, wobei die Übermittlungsmethoden E-Mails, SMS und spezifische Anwendungen umfassen.

Wie sicher dies tatsächlich ist, hängt stark vom jeweiligen Tool und Verfahren ab. Apple zum Beispiel bietet einen der sichersten Ansätze für seine Apple-ID-Konten. Die Nutzer erhalten nicht nur eine Push-Benachrichtigung über das Betriebssystem, sondern es wird auch eine Karte mit dem Ort des Anmeldeversuchs angezeigt. Wenn der Benutzer in London ist und eine Benachrichtigung für Bukarest erhält, weiß er sofort, dass etwas nicht stimmt.

Es gibt eine Reihe von MFA-Ansätzen, aber leider beruhen die meisten verwendeten auf Passwörtern und anderen schwachen Faktoren, wie z. B. einmaligen Passcodes, die per E-Mail oder SMS verschickt werden. Diese Ansätze weisen erhebliche Sicherheitslücken auf, die häufig von Angreifern ausgenutzt werden.

Neben der mangelnden Sicherheit haben herkömmliche MFA-Ansätze ein weiteres Problem: Sie werden von den Nutzern in der Regel nicht gemocht, und das aus gutem Grund. Die Benutzer dürfen sich damit herumschlagen, dass sie über mehrere Geräte hinweg zahlreiche Hürden überwinden müssen, um sich anzumelden und einfach mit ihrer Arbeit fortzufahren. Besonders frustrierend ist dies für Benutzer, die auf mehrere Anwendungen zugreifen. Sie benötigen jeweils einen zweiten Faktor, der sich oft auf einem anderen Gerät befindet. Das ist sehr zeitaufwändig und nervig, besonders wenn der Dienst nur langsam reagiert.

Umgehung von Legacy MFA

Abgesehen von den Nachteilen für den Benutzer birgt die herkömmliche MFA inhärente Sicherheitsrisiken. Wenn die MFA-Verifizierung per E-Mail erfolgt, muss der Betrüger nur einen zusätzlichen Schritt unternehmen, um den Benutzer zur Weitergabe seiner PIN zu verleiten. Der Angreifer kann das Opfer zum Beispiel auf eine gefälschte Landing Page eines legitimen Dienstes leiten. Sobald er die ersten Anmeldedaten (Benutzer-ID und Passwort) gesammelt hat, kann der Kriminelle damit eine MFA-E-Mail auf der echten Website auslösen und den Bestätigungscode stehlen, wenn der Benutzer ihn eingibt.

SMS-basierte Verfahren können leicht durch SIM-Austausch umgangen werden. Dazu muss der Kriminelle ein wenig Social Engineering betreiben, um die Telefonnummer mit einer neuen SIM-Karte auszutauschen, so dass er sein Telefon in eine Kopie des Telefons des Opfers verwandeln und den Bestätigungscode erhalten kann.

Mit etwas Vorbereitung können Angreifer MFA-Codes auch über Man-in-the-Middle-Angriffe, bei denen ein Proxy zwischen Client und Server geschaltet wird, oder Man-in-the-Endpoint-Angriffe, bei denen nach der Authentifizierung einer Sitzung im Hintergrund betrügerische Sitzungen gestartet werden, ausspionieren.

Alle Authentifizierungsfaktoren müssen stark sein

Auf dem Papier ist MFA ein effektives Verfahren, das die meisten Versuche, ein Endgerät oder Netzwerk zu kompromittieren, verhindern kann. In der Praxis jedoch können Angreifer Schwachstellen in der Bereitstellung ausnutzen. Noch wichtiger ist, dass eine herkömmliche MFA in der Regel auf ein standardmäßiges passwortbasiertes Authentifizierungssystem aufgesetzt wird, was bedeutet, dass der MFA-Ansatz auf einer völlig unzureichenden Grundlage aufbaut.

Um eine sichere Authentifizierung zu gewährleisten, müssen alle Authentifizierungsfaktoren stark sein. Das bedeutet, dass man sich von den herkömmlichen Anmeldeinformationen verabschieden und ein stärkeres Verfahren wie die asymmetrische Verschlüsselung mit einem privaten Schlüssel, der nicht weitergegeben wird, und einem öffentlichen Schlüssel, der weitergegeben werden kann, ohne die Sicherheit zu beeinträchtigen, anwenden muss. Dieser Ansatz wird in der Transport Layer Security (TLS) verwendet und ist weithin als das Schloss im Browserfenster bekannt. Die asymmetrische Kryptografie ist das grundlegende Sicherheitsprotokoll für die sichere Internet-Kommunikation und schützt täglich Finanztransaktionen in Höhe von Billionen Euro. Die Einführung eines vollständig passwortlosen Systems, das nur starke Authentifizierungsfaktoren verwendet, die auf bewährter asymmetrischer Kryptografie basieren, beseitigt das Risiko, dass Kriminelle Anmeldedatenbanken stehlen oder Phishing-Techniken anwenden, und bietet eine solide Grundlage für den Aufbau von MFA. Dies setzt voraus, dass das Passwort vollständig ersetzt wird und nicht einfach durch eine weitere Ebene überdeckt wird.

In ähnlicher Weise muss der zweite Faktor weg von E-Mail- und SMS-Zustellungssystemen, die leicht gekapert oder anderweitig umgeleitet werden können.. Wenn die Verifizierung über eine spezielle Anwendung und einen sicheren Kommunikationskanal erfolgt, ist es für Kriminelle viel schwieriger, sich in den Prozess einzuschleichen.

Die Authentifizierung selbst muss so gestaltet sein, dass sie nicht einfach nachgeahmt werden kann. Eine ideale Lösung für einen der Faktoren ist die Biometrie, deren Technik sich in den letzten Jahren weit verbreitet hat. Die meisten modernen Computer und Mobilgeräte verfügen heute standardmäßig über Fingerabdruckscanner oder Gesichtserkennung. Nach dem Vorbild von Apple werden die biometrischen Daten lokal auf dem Gerät in einer speziellen Hardware gespeichert, die äußerst angriffsresistent ist. Moderne Geräte ohne Biometrie verwenden oft Pincodes, die in sicherer Hardware auf dem Gerät gespeichert werden und außerdem über einen eingebauten „Anti-Hammering“-Schutz verfügen, so dass der Angreifer nur wenige Versuche hat, bevor das Gerät keine neuen Anmeldeversuche mehr zulässt.

Das Fazit ist, dass moderne Geräte starke primäre Authentifizierungsmechanismen eingebaut haben. Die Verwendung einer starken biometrischen Authentifizierung zum Nachweis des Besitzes des Geräts plus eines zweiten Faktors, der auf bewährter asymmetrischer Kryptografie basiert, bietet eine grundsätzlich starke, passwortlose Multifaktor-Authentifizierungsmethode, der man vertrauen kann. Wie die biometrischen Daten wird auch der bei asymmetrischen Kryptographie-Ansätzen verwendete private Schlüssel in der sicheren Hardware des Geräts selbst gespeichert (entweder in einem Trusted Platform Module/TPM oder einer sicheren Enklave).

Stärke in Zahlen

Durch die Einführung eines vollständig passwortlosen multifaktoriellen Authentifizierungsansatzes können Unternehmen genau feststellen, wer der Benutzer ist. Ansätze, die auch asymmetrische Kryptographie verwenden, um die Identität des Benutzers an das Gerät zu binden, ermöglichen das Vertrauen, dass der Benutzer sich von einem registrierten Gerät aus anmeldet. Das wird für Unternehmen vor allem im Rahmen des neuen hybriden Arbeitsparadigmas, bei dem Mitarbeiter auf eine Reihe von SaaS-Anwendungen und Cloud-Ressourcen zugreifen, immer wichtiger. Zusätzlich zur positiven Authentifizierung des Benutzers und des Geräts wenden viele Unternehmen ein Konzept namens „Gerätevertrauen“ an. Dabei wird versucht, die Sicherheitslage des Geräts, das für die Anmeldung ins System verwendet wird, zu bewerten, bevor der Zugriff gewährt wird. Moderne Lösungen benötigen diese zusätzliche Fähigkeit, da die alten netzwerkbasierten Kontrollen in der hybriden Arbeits- und Cloud-Computing-Umgebung nicht mehr vorhanden sind.

Bequemlichkeit ist der Schlüssel

Schließlich muss die gewählte Authentifizierungsmethode für die Endnutzer einfach, schnell und einheitlich sein. Eines der Hauptprobleme, das die breite Einführung von MFA bislang verhindert hat, ist die unangemessene Verzögerung des Anmeldeprozesses. Wenn die Benutzer nur auf eine oder zwei Anwendungen zugreifen, kann eine herkömmliche MFA, bei der die Benutzer ein zweites Gerät nehmen, einen Code herausfischen und ihn in den Anmeldebildschirm eingeben müssen, akzeptabel sein. Während dies für einige wenige Anwendungen ein mühsames Verfahren ist, ist es für Mitarbeiter, die sich täglich bei einem Dutzend Anwendungen anmelden, ein untragbar zeitaufwändiger Prozess. Daher ist eine Lösung, die das eingebaute biometrische Merkmal als ersten Faktor und die asymmetrische Kryptographie als starken und nahtlosen zweiten Faktor nutzt, sowohl aus Sicherheits- als auch aus Komfortsicht ideal.

Über den Autor / die Autorin:


Tom Jermoluk ist CEO und Mitbegründer von Beyond Identity. Die „sicherste Authentifizierungsplattform der Welt“ bietet eine grundlegend andere Methode, wie Nutzer sich anmelden: Es eliminiert Passwörter und bietet ein reibungsloses Multi-Faktor-Login-Erlebnis.