In den frühen Tagen der Computertechnik war die Authentifizierung einfach, aber der Ansatz wurde im Laufe der Zeit immer raffinierter. Beispielsweise übertragen moderne passwortbasierte Authentifizierungssysteme wie Kerberos keine Passwörter mehr; sie generieren ein Authentifizierungstoken, das stattdessen übermittelt wird.
Aber selbst mit diesen Verbesserungen hat ein auf Benutzername und Passwort basierender Ansatz zur Authentifizierung immer noch eine entscheidende Schwäche: Wenn jemand das Passwort eines anderen Benutzers erfährt, ist er nicht davon zu unterscheiden der wahre Benutzer. Und obwohl Bill Gates vor fast 20 Jahren den Tod des Passworts vorhergesagt hat, bleiben sie die Standard-Authentifizierungsmethode für eine Reihe von Diensten bei der Arbeit und zu Hause.
Bereits im Dezember 2022 warnte PayPal seine Kunden vor einem Unbefugter Zugriff Dritter auf mehrere Konten, was möglicherweise zu Lecks persönlicher Informationen führt. Der Vorfall stellte sofort die grundlegenden Sicherheitsvorkehrungen von PayPal in Frage und Fragen, wie warum Multi-Factor Authentication (MFA) für einen so sensiblen Dienst wie PayPal nicht standardmäßig erzwungen wird, kamen auf.
In solchen Fällen ist die Hauptursache ein vorherrschendes Problem, bei dem Kontoinhaber dasselbe verwenden ID/Passwort-Kombinationen für mehrere Standorte und Anwendungen. Laut dem aktuellen One Identity Umfrage gaben 84 Prozent der Befragten an, ein Lieblingspasswort zu haben. Ein solches Sprühen von Passwörtern vereinfacht den Zugriff von Angreifern auf vertrauliche Informationen, insbesondere wenn diese nicht durch eine zusätzliche Authentifizierungsebene geschützt sind. Microsofts VP of Identity Security Alex Weinert in seiner Keynote auf der The Experts Conference ( TEC) 2022 hob hervor, dass Passwort-Spraying-Angriffe von 350.000 im Jahr 2018 auf über 5 Millionen im Jahr 2022 gestiegen sind. Er stellte auch fest, dass die Wahrscheinlichkeit einer Kompromittierung ohne aktivierte MFA um das 20-fache ansteigt.
Daher wird MFA zu einer entscheidenden Komponente der Cybersicherheitsstrategie, die sowohl Unternehmen als auch ihren Benutzern zugute kommt, indem sie die wichtigsten Schwachstellen der Benutzernamen-und Passwortauthentifizierung angeht.
Mit Unternehmen wie Microsoft, die ihre eigenen Empfehlungen für MFA-Identifikationen optimieren und bald Durch die Ermöglichung einer neuen Authentifizierungsmethode namens Nummernabgleich wird die Implementierung von MFA für gefährdete Benutzer immer wichtiger und wird von Branchenführern dringend empfohlen.
Die Verwendung von Nummernabgleich
Nach Angaben der US-amerikanischen Cybersecurity and Infrastructure Securi ty Agency (CISA) ist der Nummernabgleich die beste Zwischenlösung für Organisationen, die möglicherweise nicht sofort in der Lage sind, Phishing-resistente MFA zu implementieren. Beim Nummernabgleich müssen Benutzer eine automatisch generierte Nummer auf dem Anmeldebildschirm mit der Nummer in ihrer Authenticator-App abgleichen. In einem Leitfaden rät CISA zur Verwendung einer auf Nummernabgleich basierenden Multi-Faktor-Authentifizierung als zusätzlichen Schutz für die Cloud-Anwendungen. Mehrere Anbieter schließen den Nummernabgleich bereits in ihre MFA-Implementierungen ein, und obwohl Microsoft derzeit keinen zahlenbasierten Multifaktor vorschreibt, werden sie am 27. Februar 2023 mit der Einführung des Mandats beginnen.
In Zusätzlich zur Nummernabgleichs-MFA wird Administratoren empfohlen, die Überwachungsprotokolle und fehlgeschlagene Multifaktor-Authentifizierungen regelmäßig zu überprüfen und die Mitarbeiter zu ermutigen, alle ungewöhnlichen Ereignisse zu melden, die spezifisch für den Zeitpunkt des Auftretens der Ereignisse sind, die von der MFA aufgefordert werden, damit sie das forensische Personal überprüfen kann.
Es ist jedoch immer wichtig, die MFA-Müdigkeit sowie andere Angriffsvektoren wie Phishing im Auge zu behalten und die Empfehlungen der CISA zur Implementierung von Phishing-resistenter MFA für einen besseren Sicherheitsschutz zu befolgen.
Phishing-resistente MFA-Implementierungen
Es gibt mehrere Varianten der Multifaktor-Authentifizierung, aber fast alle haben eine Schwäche gemeinsam: Menschliche Interaktion ist erforderlich. Und wo menschliche Interaktion erforderlich ist, kann es zu Phishing kommen.
Eine gängige Reaktion und Antwort auf die problematischsten Formen von MFA ist Phishing-resistente MFA – der goldene Cybersicherheitsstandard von CISA, der den menschlichen Faktor aus der Gleichung entfernt.
Die am weitesten verbreitete Phishing-resistente Authentifizierung ist die FIDO/WebAuthn-Authentifizierung, die von den wichtigsten Browsern, Betriebssystemen und Smartphones unterstützt wird. Bei der Phishing-resistenten Authentifizierung werden Passwörter durch eine starke Kryptographie ersetzt, die an einen externen Authentifikator wie einen USB-Sicherheitsschlüssel, ein Gerät im Besitz des Benutzers oder APIs zur Verwaltung von Anmeldeinformationen gebunden ist. Basierend auf der Kryptografie mit öffentlichen Schlüsseln eliminiert die Phishing-resistente MFA die Verwendung gemeinsam genutzter Codes und verringert die Fähigkeit von Angreifern, Zugangscodes abzufangen und abzuspielen.
Natürlich müssen bei der Auswahl Kosten und Budget berücksichtigt werden Methodik, da die Implementierung von Token Zeit braucht und es empfohlen wird, mehr als ein Token als Backup zu haben. Physische Token erfordern auch, dass der Benutzer daran denkt, sie festzuhalten, während für viele von uns ein Telefon ein natürlicherer Gegenstand ist. Unternehmen wird empfohlen, über Geräte nachzudenken, die Benutzern helfen, Tokens griffbereit zu halten, und es ihnen erleichtern, sie bei Bedarf zur Hand zu haben.
Spoof Proof
Auf der positiven Seite stellt die Phishing-resistente MFA-Implementierung sicher, dass Multifaktor nicht gefälscht werden kann. Bei der Implementierung von Phishing-resistenter MFA müssen Unternehmen untersuchen, ob die Anwendungen, die sie schützen möchten, diese erweiterten Multifaktor-Implementierungen unterstützen. Einige werden diese zusätzlichen Token nicht unterstützen und sich stattdessen nur auf Anwendungstoken verlassen.
Es kann auch eine Lernkurve und Implementierungszeit geben, die dazu führen könnte, dass ein anwendungsbasierter Multifaktor als Übergangslösung verwendet wird Maßnahme, um sicherzustellen, dass Schutz vorhanden ist, und später den Token-basierten Ansatz für zusätzlichen Schutz einzusetzen.
Es steht außer Frage, dass die Multifaktor-Authentifizierung Organisationen und Benutzern zugute kommt, da sie die Sicherheit erheblich erhöht. Aber die ständige Anforderung einer Multifaktor-Authentifizierung für alle wird die Benutzer mit ziemlicher Sicherheit frustrieren und die Produktivität beeinträchtigen. Es ist wichtig, einen ausgewogenen Ansatz zu wählen.
MFA lässt sich am besten als ein Aspekt der umfassenderen Sicherheitsstrategie Ihres Unternehmens verstehen. Viele Experten empfehlen jetzt, eine Sicherheitsstrategie zu entwickeln, die auf Zero-Trust-Prinzipien basiert, und Tools wie Azure AD Conditional Access zu verwenden, was Ihnen viel Flexibilität gibt, um MFA vernünftig anzuwenden.
Mit Zahlen von Cyberangriffen steigen weiter und ein Bericht mit dem Ergebnis, dass 20 % der Unternehmen sagen, dass ein Cyberangriff ihre Zahlungsfähigkeit und Umsetzung bedroht von MFA ist ein wichtiger Schritt zum Schutz des Unternehmens und des Rufs des Unternehmens vor Cyberbedrohungen. Obwohl es kein Allheilmittel für alle Cyber-Schwachstellen ist, ist es ein notwendiges zur Abwehr von Bedrohungen.
Bildnachweis: Jirsak/depositphotos
Alistair Holmes ist Principal Solutions Architect, Quest Software