What Is Multi-factor Authentication (MFA)?

 

Mehr erfahren

What is Multi-factor Authentication (MFA)?

As a concept, multi-factor authentication (MFA) goes back well before cloud computing, e-commerce, online services, and all the other activities that take place over the internet. Many of us remember a time when banking services required you to supply your government-issued ID along with your mother's maiden name to gain access to account information. Today, in its simplest terms, multi-factor authentication adds a layer of security as people access online accounts by requiring the use of two or more types of credentials or "factors."" The classic definition of MFA factors is "something you have" (like a one-time password), "something you know" (like a PIN or password), or "something you are" (like a biometric). Using two or more of these factors delivers MFA.

As data breaches and fraud have escalated, the need for multi-factor authentication has become critical to reducing risk.

 

Warum ein Benutzername und ein Passwort nicht mehr ausreichen

Unternehmen in allen Branchen geben ein Vermögen für Cybersicherheit aus. Gartner schätzt, dass sich die Ausgaben für Informationssicherheit und Risikomanagement 2022 auf insgesamt 172 Milliarden US-Dollar belaufen werden, gegenüber 155 Milliarden US-Dollar im Jahr 2021 und 137 Milliarden US-Dollar im Vorjahr. Und dennoch gehen die Datenschutzverletzungen unvermindert weiter.

Laut dem jüngsten ForgeRock Consumer Identity Breach Report war unbefugter Zugriff das dritte Jahr in Folge die Hauptursache für Datenschutzverletzungen. Fragwürdige, aber weit verbreitete Praktiken wie die Weitergabe oder Wiederverwendung von Passwörtern machen es böswilligen Akteuren leicht, sich Zugang zu wertvollen Daten wie Geburtsdatum oder Sozialversicherungsnummer zu verschaffen. Diese Realität rückt die Notwendigkeit eines vielschichtigen, tiefgreifenden Ansatzes für das Identitäts- und Zugriffsmanagement (IAM), der auch MFA einschließt, in den Mittelpunkt.

Multi-factor authentication can help to prevent the most common types of attacks from succeeding, such as brute-force attacks, credential stuffing, and man-in-the-middle attacks. And it can prevent devastating account takeover (ATO) attacks from occurring. By requiring an added credential, such as a one-time password (OTP) delivered via text message (SMS) or authenticator app, an attacker with credentials still can't gain access to the targeted resources.

Lesen Sie mehr über die Vermeidung von Datenschutzverletzungen.

„Der Bericht belegt, dass Angriffe, die Benutzernamen und Passwörter betreffen, im Vergleich zu 2019 um 450 % zunahmen, was allein in den USA zu mehr als einer Milliarde gefährdeten Datensätzen führte.“

Consumer Identity Breach Report 2021

Das Problem mit Passwörtern

Das weltweit häufigste Passwort ist laut dem VPN-Marktführer Nord Security 123456. Mehr als 100 Millionen Menschen verwenden dieses Passwort für ihre persönlichen Konten, trotz anhaltender Warnungen vor schwachen Passwörtern und Empfehlungen für die Verwendung einzigartiger Passwörter, die schwer zu erraten sind, selbst wenn jemand etwas über Sie wüsste. (Hier finden Sie einige Tipps zur Wahl eines Passworts.)

Es gibt viele Gründe, warum Benutzer die Richtlinien zum Erstellen komplexer Passwörter nicht befolgen. Einer ist, dass sie zu komplex sind, um sich daran zu erinnern. Ein weiterer Grund ist, dass die Menschen ihre eigenen Daten nicht für wertvoll halten, so dass sie glauben, dass sie nicht gefährdet sind. Denn warum sollte sich ein Eindringling die Mühe machen, ein Konto ohne Geldwert oder das Versprechen vieler sensibler Daten zu infiltrieren?

Das Problem mit dieser Denkweise ist, dass der Inhaber des infiltrierten Kontos selten das beabsichtigte Ziel ist. In seinem Data Breach Investigations Report 2021 berichtet Verizon, dass kompromittierte Zugangsdaten in 60 % der Sicherheitsverletzungen verwickelt waren. „Zugangsdaten sind nach wie vor einer der begehrtesten Datentypen“. Der Grund dafür ist, dass Angreifer immer nach dem schwächsten Glied suchen, das sie ausnutzen können. Wenn sie Zugangsdaten oder ein einfaches oder standardmäßiges Passwort gestohlen haben, können sie ein infiltriertes System oder Konto verwenden, um in einem Netzwerk Fuß zu fassen, in dem sich die wertvollen Daten befinden. Schlechte Sicherheitspraktiken eines Mitarbeiters wirken sich also nicht nur auf den Mitarbeiter selbst aus – sie können auch zur Preisgabe von Kundendaten, geistigem Eigentum und anderen Vermögenswerten führen.

Ein weiteres Problem mit Passwörtern besteht darin, dass die meisten Benutzer dieselben Passwörter für mehrere Websites und Konten verwenden. Wenn sich also ein Angreifer Zugang zu einem Konto verschafft, ist die Wahrscheinlichkeit groß, dass die gleichen Zugangsdaten für andere, vielleicht interessantere Konten verwendet werden. Darüber hinaus speichern laut einer Forrester-Umfrage 53 % der Menschen ihre Passwörter auf unsichere Weise.

Um diesen und anderen Risiken entgegenzuwirken, setzen viele Unternehmen die passwortlose Authentifizierung ein. Durch den Wegfall von Passwörtern können Sie deren Risiken und die damit verbundenen Kosten eliminieren.

 

The "factors" in multi-factor authentication

Die drei häufigsten Kategorien, oder Authentifizierungsfaktoren, werden als etwas beschrieben, das Sie wissen, etwas, das Sie haben und etwas, das Sie sind. MFA funktioniert durch die Kombination von zwei oder mehr Faktoren aus diesen Kategorien.

  • Der Faktor „etwas, das Sie wissen", auch bekannt als „Wissensfaktor“, umfasst in der Regel Passwörter, persönliche Identifikationsnummern (PINs) und einmalige Passwörter (OTPs). Er kann auch beinhalten, dass Sie den Benutzer bitten, eine Sicherheitsfrage zu beantworten, z. B. den Namen der Straße, in der er aufgewachsen ist.
  • Etwas, das Sie haben, auch als „Besitzfaktor“ bekannt, umfasst ein Gerät oder etwas anderes, das sich im Besitz des Benutzers befindet. Es kann sich um eine Authentifizierungs-App auf einem Mobilgerät, einen Sicherheitsschlüssel oder ein Sicherheitstoken handeln. Dabei handelt es sich um ein Hardwaregerät, das an den USB-Anschluss Ihres Computers angeschlossen wird. Ein Smartphone bietet häufig den Besitzfaktor in Verbindung mit einer App für den einmaligen Passcode (OTP).
  • Etwas, das Sie sind, auch als „Inhärenzfaktor“ bekannt, ist der Punkt, an dem „Biometrie“ ins Spiel kommt. Es kann sich um einen Fingerabdruck, Gesichtserkennung, Netzhautscan oder Spracherkennung handeln.

 

Die wachsende Rolle der KI bei der Authentifizierung

Alle sind sich einig, dass die Authentifizierung wichtig ist, aber sie muss eine Balance zwischen ihrer Rolle als Sicherheitsbeauftragter und ihrer Position als Eingangstür zu Ihrem Unternehmen herstellen. Sie möchten nicht, dass bekannte Mitarbeiter bei jeder Anmeldung strenger Authentifizierung unterzogen werden. Ein solches Erlebnis wäre frustrierend und ein Hindernis für die Produktivität. Wenn Sie die Registrierung oder den Kauf für Ihre Kunden zu umständlich machen, ist die Wahrscheinlichkeit groß, dass diese Kunden ihr Geschäft woanders abwickeln.

Hier kommt künstliche Intelligenz (KI) ins Spiel. Da MFA maschinelles Lernen und KI integriert, werden die Authentifizierungsmethoden immer ausgefeilter und besser darauf abgestimmt, wer sich anmeldet, und ob sich dieser Anmeldeversuch oder das Online-Verhalten unterscheiden. Wenn sich der Kontext ändert, z. B. der Standort oder das Gerät des Benutzers – oder sogar der sensible Charakter der App, auf die zugegriffen wird –, wird eine weitere risikobasierte Authentifizierung ausgelöst, die als Step-up-Authentifizierung bezeichnet wird. Wenn der gesamte Kontext den Erwartungen entspricht, erfordert das System weniger Authentifizierung, was den Zugriff für den Benutzer erleichtert.

Die KI-gestützte Lösung von ForgeRock heißt ForgeRock Autonomous Access. Einfach erklärt weist Autonomous Access jedem Anmeldeversuch basierend auf einer Vielzahl von Faktoren eine Risikobewertung zu. Die Lösung verwendet diesen Wert, um sofort dem Risiko angemessene Zugangsbedingungen anzuwenden.

  • Geringes Risiko: Ein vertrauenswürdiger Benutzer, der sich zu den erwarteten Zeiten mit demselben Gerät und Netzwerk innerhalb derselben Geolokalisierung anmeldet, wie für ihn typisch. Dieser Benutzer gelangt reibungslos durch die Anmeldung und erhält sofort Zugang.
  • Mittleres Risiko: Beispielsweise ein bekannter Benutzer, der sich mit dem üblichen Gerät anmeldet, sich aber möglicherweise in einer anderen Zeitzone oder sogar in einem anderen Land befindet. Es ist eine zusätzliche Authentifizierung erforderlich, bevor der Zugriff gewährt wird.
  • Hohes Risiko: Dieser Benutzer ist fast sicher bösartig, möglicherweise ein Bot, bei dem mehrere automatisierte Anmeldeversuche fehlgeschlagen sind. Zugriffsanfragen können aufgehoben oder vollständig blockiert werden.

 ForgeRock Autonomous Access ist eine KI-gestützte Sicherheitslösung, die Kontoübernahme (ATO) und Betrug während der Authentifizierung verhindert und gleichzeitig unnötige Zugangsbarrieren für legitime Benutzer aufhebt.


 

 

MFA: Eine gesetzlich vorgeschriebene Lösung

Um die USA weniger anfällig für Cyberbedrohungen zu machen, erteilte die Biden-Regierung eine Executive Order (EO), die die Verwendung von MFA durch US-Regierungsbehörden vorschreibt. Die Executive Order (EO) 14028 zur Verbesserung der Cybersicherheit der Nation wurde im Mai 2021 unterzeichnet und forderte die Behörden auf, innerhalb von 180 Tagen nach dem Erlass eine Multi-Faktor-Authentifizierung einzuführen, unter folgendem Hinweis: „Inkrementelle Verbesserungen geben uns nicht die Sicherheit, die wir brauchen; deshalb muss die Bundesregierung substanzielle Veränderungen und erhebliche Investitionen vornehmen, um die wichtigsten Institutionen zu schützen, die ein Fundament für das amerikanische Leben darstellen.“

 

Fazit: Die Notwendigkeit einer MFA

Früher war die Authentifizierung einfacher, als alle Mitarbeiter mit einem Netzwerk verbunden waren und auf Anwendungen und Ressourcen in einem zentralen Rechenzentrum zugegriffen wurde. Jetzt verbinden sich Mitarbeiter über die verschiedensten, häufig nicht gemanagten, Geräte, sind ständig unterwegs und melden sich von zu Hause, über öffentliches WLAN und oft von verschiedenen Standorten aus an. Unternehmen, die Kunden betreuen – egal, ob sie Verbraucher, Patienten, Bürger, Studenten oder andere Personen sind – müssen ein einfaches, reibungsloses Erlebnis bieten und gleichzeitig Identitäten verwalten, die sich auf mehrere Millionen belaufen können.

Dank der Nutzung eines modernen Authentifizierungssystems, das künstliche Intelligenz und maschinellem Lernen mit einschließt, können Unternehmen die notwendige Sicherheit bieten, um Eindringlinge fernzuhalten. Gleichzeitig erleichtert es berechtigten Benutzern den Zugriff, um die Produktivität der Mitarbeiter und die Zufriedenheit der Kunden zu gewährleisten.

Ressourcen

Blog

IAM 101 Serie: Was ist eine Kontoübernahme?

Blog lesen
Webseite

KI-gestützte Identität

Mehr lesen
Webseite

Vergessen Sie Ihre Passwörter. Es geht auch ohne.

Mehr lesen
Lösungsprofil

ForgeRock Identity Management

Übersicht herunterladen