Kontakt

    Security

    Multi-Faktor-Authentifizierung: Die sichere Identität als starke Verteidigungslinie

    Sowohl die Angriffs- als auch die Verteidigungsstrategien in der IT-Sicherheit orientieren sich immer stärker an der Absicherung von Identitäten und Ihren Berechtigungen – denn: Erst der Zugriff auf relevante Daten macht den Angriff lohnenswert.

    Lesedauer 2 Minuten

    Starke Identitäten sind auch ein Grundbaustein für Zero-Trust-Strategien. Nur mit einer sicheren Identität können definierte Policies erfolgreich greifen.

    Multi-Faktor-Authentifizierung gilt schon lange als ein entscheidender Schritt, um die Sicherheit einer Identität und damit einer IT-Umgebung zu erhöhen.

    Klassisch ist hier in Ergänzung zu einem Benutzernamen und einem Passwort ein Einmalpasswort (one-time-password, OTP), generiert durch ein Token im Schlüsselanhängerformat:

    Etwas, was ich bin (Username)
    +
    etwas, das ich weiß (Passwort)
    +
    etwas, das ich habe (Token)

    Historisch gab es hier schnell proprietäre Formate durch einzelne Hersteller, die Popularität erlangten, aber auch seit 2005 mit OATH HOTP und später TOTP einen Standard, der schnell bei Backends und Tokenherstellern Einzug hielt.

    Diese klassischen Tokenverfahren basieren auf synchronen Schlüsseln, die im Token und im authentifizierenden Server identisch abgelegt sind und als Grundlage zur Generierung von OTPs dienen. Diese synchronen Schlüssel werden heute immer mehr von asynchronen Verfahren wie LinOTP Push-Token oder FIDO-Token abgelöst, um bei einer Komprimierung des Backendservers nicht alle Schlüssel zu verlieren.

    Eine beliebte und allgemein bekannte Variante der klassischen Token sind SMS basierte Verfahren: Beim Login wird eine SMS mit dem benötigten Wert an den Benutzer versendet, der dann in das entsprechende Formular übertragen werden muss.

    Das war lange, auch in der Finanzbranche mit der mTAN, als ausreichend angesehen. Heute gelten SMS Token nur noch für kurzfristige Einsätze oder Niedrigrisikoanwendungen als akzeptabel, da SIM-Swap-Attacken und Angriffe auf Mobilfunknetze in den letzten Jahren immer wieder erfolgreich ausgeführt worden sind.

    Schwächen klassischer Tokenverfahren

    Beiden Varianten, klassischen Hardware- und Softwaretoken und SMS Token, ist die Eingabe in einen Login-Dialog gemeinsam – häufig in Webportalen via Browser.

    Da vor allem heutige Browser die Session und damit die Kommunikation mit einem Kommunikationspartner nur unzureichend gegen Man-in-the-middle-Attacken absichern, wird die fehlende Transaktionsbindung der klassischen Token zum Schwachpunkt: Ein klassischer OTP-Wert kann für alles eingesetzt werden, wenn er einmal generiert und noch nicht verwendet wurde. Der Angreifer kann dann seinen eigenen Angriff mit einem OTP verifizieren, der für eine eigentlich harmlose Aktion erstellt wurde.

    Sicherheit durch transaktionsbasierte Verfahren

    Neuere transaktionsbasierte Verfahren machen den Vorgang selbst zum Teil der kryptographischen Verfahren in der Authentifizierung: Ein OTP kann damit nur zu dem Zeitpunkt und für den Zweck eingesetzt werden, für den es gedacht war. Ein Man-in-the-middle wird erschwert oder unmöglich gemacht.

    Transaktionsbasierte Verfahren mit asynchronen Schlüsseln sind vor allem aus dem Bankenbereich bekannt (TAN-Verfahren), werden aber auch in der Authentifizierung und der Absicherung von Geschäftsprozessen immer wichtiger. Kryptographisch moderne Token bieten hier Zukunftssicherheit.


    Natürlich ist die Auswahl des korrekten Tokens nur ein Aspekt in der erfolgreichen Implementierung eines MFA-Backends mit Zero-Trust und Passwordless Authentication im Hinterkopf. In unserem Webinar zeigen wir am Beispiel unserer Lösung LinOTP, wie MFA-Lösungen die Sicherheit Ihrer Konten signifikant verbessern und veranschaulichen anhand konkreter Implementierungsbeispiele für SAML und ADFS, wie sowohl die Integration von on-premise Lösungen als auch die Integration von Cloud-Applikationen in IT-Umgebungen aussehen kann.

    Weitere Beiträge

    Alle Artikel ansehen

    Security

    16 Oktober 2024

    Künstliche Intelligenz (KI) in der Cybersicherheit

    Künstliche Intelligenz (KI) begegnet uns mittlerweile täglich, ob im Privatleben oder im Beruf. Die Einsatzmöglichkeiten in den unterschiedlichen Bereichen im Unternehmen sind dabei sehr vielfältig. In diesem Blogartikel erfahren Sie,...
    Weiterlesen

    Security

    9 Oktober 2024

    Die wichtigsten Fakten zum Cyber Resilience Act

    Durch den Cyber Resilience Act (CRA) soll die Cybersicherheit von Produkten mit digitalen Elementen in der Europäischen Union gestärkt werden. Was beinhaltet der Cyber Resilience Act im Detail und welche Pflichtmaßnahmen kommen auf...
    Weiterlesen

    Cloud, 

    Security

    2 September 2024

    Wie ein Disaster Recovery Plan (DRP) Ihre Cyber-Resilienz stärkt

    Das Wichtigste in Kürze Ein Disaster Recovery Plan (DRP) sollte als Teil eines Business Continuity Plans in jedem Unternehmen verankert sein, um die Cyber-Resilienz zu stärken. Im Falle einer Katastrophe oder eines Sicherheitsvorfalls...
    Weiterlesen

    Sprechen Sie jetzt mit unseren Experten

    Als erfahrener Partner bieten wir Unternehmen ganzheitliche Sicherheitslösungen, die Ihre gesamte IT-Landschaft absichern.
    Gerne unterstützen wir Sie bei der Planung und Umsetzung Ihrer Projekte und sind dabei persönlich und regional für Sie da!

    Jetzt beraten lassen