Mehrfaktorauthentifizierung (MFA) ist eine Methode zur Identitätsüberprüfung, bei der Benutzer mindestens einen Authentifizierungsfaktor zusätzlich zu einem Kennwort oder mindestens zwei Authentifizierungsfaktoren anstelle eines Kennworts angeben müssen, um Zugang zu einer Website, einer Anwendung oder einem Netzwerk zu erhalten.

Da es aufwendiger ist, mehrere Authentifizierungsfaktoren zu hacken als nur ein Kennwort, und weil andere Arten von Faktoren schwieriger zu stehlen oder zu fälschen sind als Kennwörter, schützt MFA ein Unternehmen besser vor unbefugtem Zugriff als Authentifizierung mit nur einem Faktor (Benutzername und Kennwort).

MFA ist zu einer grundlegenden Komponente des Identity and Access Management vieler Unternehmen geworden. Es ist häufig eine vorgeschriebene oder empfohlene Authentifizierungsmethode in vielen Branchen und Regierungsbehörden. Die meisten Mitarbeiter oder Internetnutzer sind bereits mit einem Untertyp der MFA, der so genannten Zwei-Faktor-Authentifizierung (2FA) in Berührung gekommen, bei der Benutzer ein Kennwort und einen zweiten Faktor angeben müssen  –  in der Regel ein Passcode, der an ein Mobiltelefon oder eine E-Mail gesendet wird  –  um sich bei einem System oder einer Website anzumelden. Doch jeder, der mit einer Bankkarte und einer persönliche Identifikationsnummer (PIN) auf einen Geldautomaten zugegriffen hat, hat eine Form der MFA verwendet.

MFA verwirrt Hacker auf zwei Ebenen. Grundsätzlich ist es schwieriger, zwei Faktoren oder mehr zu hacken, als nur einen. Letztendlich hängt die Stärke eines MFA-Schemas jedoch von den Arten der Authentifizierungsfaktoren ab, die ein Benutzer angeben muss.

Wissensfaktoren: Etwas, das der Benutzer weiß

Wissensfaktoren sind Informationen, die theoretisch nur der Benutzer kennen würde, wie Kennwörter, PINs und Antworten auf Sicherheitsfragen. Wissensfaktoren sind sowohl die am weitesten verbreitete als auch die anfälligste Art von Authentifizierungsfaktor. Hacker können Kennwörter und andere Wissensfaktoren durch Phishing-Angriffe erhalten, indem sie Tastenanschlag-Rekorder oder Spyware auf den Geräten der Benutzer installieren, oder Skripte oder Bots ausführen, die potenzielle Kennwörter generieren und testen, bis eines funktioniert.

Andere Wissensfaktoren sind keine größere Herausforderung. Antworten auf einige Sicherheitsfragen können von einem Hacker geknackt werden, der den Benutzer kennt oder in sozialen Medien recherchiert. Andere sind relativ einfach zu erraten. Es ist daher nicht verwunderlich, dass kompromittierte Berechtigungsnachweise der am häufigsten genutzte erste Angriffsvektor in 2022 waren, laut der IBM-Studie zu den Kosten einer Datenschutzverletzung 2022.

Ein allgemeines Missverständnis ist, dass zwei angeforderte Wissensfaktoren, wie z. B. ein Kennwort und die Antwort auf eine Sicherheitsfrage, MFA darstellt. Ein zweiter Wissensfaktor bietet eine gewisse zusätzliche Sicherheit, aber echte MFA erfordert die Verwendung von zwei oder mehr Arten von Faktoren.

Besitzfaktoren: Etwas, das der Benutzer hat

Besitzfaktoren sind physische Gegenstände, die Benutzer bei sich haben, wie z. B. ein Schlüsselanhänger oder eine ID-Karte, die Zugang zu einem physischen Schloss gewährt, ein mobiles Gerät mit einer installierten Authentifizierungs-App oder eine Smartcard mit Authentifizierungsdaten.

Viele MFA-Implementierungen verwenden eine sogenannte „Phone-as-a-Token“-Methode, bei der das Mobiltelefon des Benutzers die Informationen empfängt oder generiert, die es benötigt, um ein Besitzfaktor zu werden. Wie oben erwähnt, sendet MFA üblicherweise ein Einmalkennwort (OTPs) per SMS, E-Mail oder Telefonanruf an das Telefon einer Person. OTPs können aber auch von speziellen mobilen Apps, sogenannten Authenticator-Apps, generiert werden. Einige Authentifizierungssysteme senden Push-Benachrichtigungen, auf die Benutzer einfach tippen können, um ihre Identität zu bestätigen.

Andere MFA-Lösungssysteme verwenden physische Token oder dedizierte Hardware-Sicherheitsschlüssel. Einige physische Token werden in den USB-Anschluss eines Computers gesteckt und übermitteln Authentifizierungsinformationen an die Anmeldeseite. Andere generieren OTPs, die der Benutzer eingeben kann.

Besitzfaktoren bieten gegenüber Wissensfaktoren mehrere Vorteile. Böswillige Akteure müssen den Faktor zum Zeitpunkt der Anmeldung in ihrem Besitz haben, um sich als Benutzer auszugeben. Da sie über ein anderes Netz (SMS) als die Anwendung (IP) operieren, müsste ein Hacker zwei verschiedene Kommunikationskanäle abfangen, um die Berechtigungsnachweise zu stehlen. Selbst wenn Hacker ein OTP erhalten könnten, müssten sie es erhalten und verwenden, bevor es abläuft, und könnten es nicht erneut verwenden.   

Aber es gibt Risiken. Da es sich um Gegenstände (und normalerweise kleine) handelt, können physische Token gestohlen, verloren oder verlegt werden.  Obwohl OTPs schwerer zu stehlen sind als herkömmliche Kennwörter, sind sie dennoch anfällig für ausgeklügelte Phishing- oder Man-in-the-Middle-Angriffe – oder für SIM-Klonen, bei dem böswillige Akteure ein funktionsfähiges Duplikat der SIM-Karte des Smartphones des Opfers erstellen.

Inhärente Faktoren: Etwas Einzigartiges für den Benutzer als Person

Inhärente Faktoren, auch Biometrie genannt, sind körperliche Merkmale oder Merkmale, die für den Benutzer einzigartig sind.  Die Fingerabdrücke, Stimme, Gesichtszüge oder Iris- und Netzhautmuster einer Person sind Beispiele für inhärente Faktoren. Heutzutage können viele mobile Geräte per Fingerabdruck oder Gesichtserkennung entsperrt werden. Einige Computer können Fingerabdrücke verwenden, um Kennwörter in Websites oder Anwendungen einzugeben.

Inhärente Faktoren sind die am schwierigsten zu knackenden Faktoren. Sie können nicht vergessen, nicht mehr vorhanden oder verlegt werden, und sie sind außerordentlich schwer zu replizieren.

Aber das bedeutet nicht, dass sie absolut sicher sind. Wenn inhärente Faktoren in einer Datenbank gespeichert sind, können sie gestohlen werden. Beispielsweise wurde 2019 eine biometrische Datenbank mit den Fingerabdrücken von 1 Million Benutzern gehackt. Theoretisch könnten Hacker diese Fingerabdrücke stehlen oder ihre eigenen Fingerabdrücke mit dem Profil eines anderen Benutzers in der Datenbank verknüpfen.

Wenn biometrische Daten kompromittiert werden, können sie nicht schnell oder einfach geändert werden. Dies kann es für die Betroffenen schwierig machen, laufende Angriffe zu stoppen.

Verhaltensfaktoren: Etwas, das der Benutzer tut

Verhaltensfaktoren sind digitale Artefakte, die die Identität eines Benutzers anhand von Verhaltensmustern überprüfen. Beispiele für Verhaltensfaktoren sind ein IP-Adressbereich oder räumliche Daten, von denen aus sich ein Benutzer typischerweise bei einer Anwendung anmeldet.

Lösungen mit Verhaltensauthentifizierung verwenden künstliche Intelligenz, um eine Baseline für die normalen Verhaltensmuster von Benutzern zu bestimmen und dann anomale Aktivitäten zu kennzeichnen, z. B. das Anmelden von einem neuen Gerät, einer neuen Telefonnummer, einem neuen Webbrowser oder einem neuen Standort. Sie werden auch häufig in adaptiven Authentifizierungsschemata (auch als risikobasierte Authentifizierung bezeichnet) verwendet, bei denen sich die Authentifizierungsanforderungen ändern, wenn sich das Risiko ändert – beispielsweise wenn ein Benutzer versucht, sich von einem nicht vertrauenswürdigen Gerät anzumelden oder zum ersten Mal versucht, auf eine Anwendung zuzugreifen oder auf besonders sensible Daten.

Während Verhaltensfaktoren eine hoch entwickelte Methode zur Authentifizierung von Benutzern bieten, erfordern sie erhebliche Ressourcen und Fachwissen, um sie bereitzustellen. Wenn Hacker Zugriff auf ein vertrauenswürdiges Gerät erhalten, können sie es außerdem als Authentifizierungsfaktor verwenden.

Da kompromittierte Wissensfaktoren der häufigste Ausgangsvektor bei Cybersicherheitsverstößen sind, erkunden viele Unternehmen die Authentifizierung ohne Kennwort. Die Authentifizierung ohne Kennwort stützt sich auf den Besitz, sowie inhärenten und verhaltensbedingten Faktoren, um Identitäten zu überprüfen. Kennwortlose Authentifizierung verringert das Risiko von Phishing-Angriffen und Credential Stuffing, bei denen Hacker von einem System gestohlene Berechtigungsnachweise verwenden, um sich Zugang zu einem anderen System zu verschaffen.

Während die Authentifizierung ohne Kennwort das entfernt, was weithin als das schwächste Glied in der Identitätsprüfungskette betrachtet wird, ist sie dennoch anfällig für die Schwachstellen des Besitzes sowie von inhärenten und verhaltensbedingten Faktoren. Unternehmen können diese Schwachstellen mindern, indem sie einen Ansatz implementieren, bei dem Benutzer mehrere Arten von Authentifizierungsnachweisen ohne Wissensfaktor bereitstellen müssen. Beispielsweise, einen Benutzer nach einem Fingerabdruck und einem physischen Token zu fragen stellt kennwortlose MFA dar.

Als Reaktion auf die steigende Flut von Cyberangriffen haben Regierungen und Regierungsbehörden damit begonnen, MFA für Systeme zu fordern, die sensible Daten verarbeiten. Im Jahr 2020 schrieb der Internal Revenue Service (IRS) MFA für Anbieter von Online-Steuervorbereitungssystemen vor. Die Exekutivverordnung von Präsident Biden von 2021 zur Verbesserung der Cybersicherheit der Nation machte MFA zu einer Anforderung für alle Bundesbehörden. Ein Folgememorandum verlangt, dass alle Systeme der nationalen Sicherheit, des Verteidigungsministeriums und Geheimdienste MFA bis zum 18. August 2022 implementieren.

Eine Anzahl von Branchenverordnungen, einschließlich des Payment Card Industry Data Security Standard (PCI-DSS), erfordern MFA speziell für Systeme, die Kreditkarten- und Zahlungskartendaten verarbeiten. Viele andere Vorschriften, einschließlich Sarbanes-Oxley (SOX) und HIPAA, empfehlen MFA nachdrücklich als kritisch für die Gewährleistung der Compliance. Einige landesweite Regelungen schreiben MFA seit Jahren vor. Unternehmen, die die MFA-Bestimmungen der Cybersicherheitsvorschrift 23 NYCRR 500 des New Yorker Finanzministeriums (NYDFS) von 2017 nicht eingehalten haben, erhielten Bußgelder von bis zu 3 Millionen US-Dollar (Link befindet sich außerhalb von ibm.com).

Single Sign-on (SSO) ist eine Authentifizierungsmethode womit Benutzer über einen Satz Anmeldeberechtigungsnachweise auf mehrere verwandte Anwendungen und Dienste zugreifen können. Benutzer melden sich einmal an, und eine SSO-Lösung authentifiziert ihre Identität und generiert ein Sitzungsauthentifizierungstoken. Dieses Token fungiert als Sicherheitsschlüssel des Benutzers für verschiedene miteinander verbundene Anwendungen und Datenbanken.

Um das Risiko zu mindern, sich für mehrere Anwendungen auf einen einzigen Satz von Anmeldeberechtigungsnachweisen zu verlassen, verlangen Organisationen in der Regel eine adaptive Authentifizierung für SSO. Adaptives SSO wendet die Funktionalität der adaptiven Authentifizierung auf SSO-Schemata an. Wenn ein Benutzer ein ungewöhnliches Verhalten zeigt, während er versucht, sich über SSO anzumelden, oder während seiner SSO-authentifizierten Sitzung, wird er aufgefordert, zusätzliche Authentifizierungsfaktoren anzugeben. Beispiele für anormales Verhalten können eine Verbindung über ein nicht erkanntes VPN oder der Zugriff auf eine Anwendung oder Daten sein, die nicht durch das Sitzungsauthentifizierungstoken des Benutzers abgedeckt sind.

Zero-Trust-Cybersicherheitsarchitekturen, in denen der Identität eines Benutzers niemals vertraut und immer überprüft wird, verwenden häufig eine Kombination aus adaptivem SSO und MFA für Authentifizierungszwecke. Durch die kontinuierliche Überprüfung der Identität des Benutzers während der gesamten Sitzung und die Abfrage zusätzlicher Authentifizierungsfaktoren basierend auf dem Risiko, stärken adaptives SSO und MFA die Zugriffsverwaltung, ohne die Funktionalität für den Benutzer zu beeinträchtigen.