MFA-Faktoren verstehen: Sie verwenden nicht die richtigen
Angesichts der zunehmenden Zahl und Komplexität von Sicherheitsbedrohungen sind die Vorteile der Multi-Faktor-Authentifizierung (MFA) heute unstrittig und sie wird immer häufiger für Unternehmens- und Verbraucheranwendungen eingesetzt. Im Hinblick auf die Sicherheit ist das eine gute Nachricht. Wir wissen, dass Passwörter allein nicht ausreichen, um Daten zu schützen, und dass mindestens ein zweiter Faktor notwendig ist. Unsere jährliche Umfrage „Businesses at Work“ hat ergeben, dass fast 70 % der Kunden von Okta ihren Benutzern heute drei oder mehr mögliche Faktoren anbieten (gegenüber 62 % im Vorjahr). Wir haben jedoch auch festgestellt, dass es bei der Auswahl der richtigen Faktoren für den Schutz von Unternehmensanwendungen und -daten noch Verbesserungspotenzial gibt.
Eine effektive MFA-Lösung schafft ein Gleichgewicht zwischen Benutzerfreundlichkeit, Wirtschaftlichkeit und Sicherheit. Einige Faktoren sind relativ einfach zu nutzen, aber vielleicht weniger sicher. Es ist hilfreich, sich jeden Faktor auf einer Sicherheitsskala vorzustellen: Wie wahrscheinlich ist es, dass Benutzer, die diesen Faktor vorweisen können, die Person sind, die sie zu sein behaupten? Verschiedene Faktoren bieten geringe Sicherheit (Sicherheitsfragen und Passwörter) bis hin zu hoher Sicherheit (Biometrie und physische Token), mit einem großen Zwischenbereich (Push-Benachrichtigungen, Einmalpasswörter).
Unsere Daten zeigen, dass viele unserer Kunden immer noch Faktoren mit geringer Sicherheit wie SMS und Sicherheitsfragen nutzen. Sicherheitsfragen sind sogar der beliebteste Faktor, den unsere Kunden nutzen und zunehmend einführen: Heute verwenden 38 % der MFA-Benutzer Sicherheitsfragen, gegenüber 30 % im letzten Jahr. Problematisch daran ist, dass die zur Beantwortung von Sicherheitsfragen benötigten Daten oft im Internet zu finden sind (z. B. der Mädchenname der Mutter; hier die Recherche von Google zu diesem Thema). Auch die Verwendung von SMS-Nachrichten als einzigem Zweitfaktor birgt Risiken. Für Unternehmen, die Vorschriften wie DFARS einhalten, gestatten die NIST-Richtlinien die Zwei-Faktor-Authentifizierung per SMS nicht mehr, da die Gefahr besteht, dass Codes abgefangen werden.
Das heißt nicht, dass diese Faktoren in einer MFA-Lösung nicht ratsam sind – es geht darum, die richtigen Faktoren mit der richtigen Risikostufe zu verknüpfen.
Woher wissen Sie, welchen Faktor Sie wählen sollten?
Früher schlossen sich Sicherheit und Benutzerfreundlichkeit gegenseitig aus: Je strenger die Sicherheitsvorschriften, desto mühsamer war es für die Teams. Dies führte dazu, dass Benutzer nach Möglichkeit Abkürzungen nahmen – und damit versehentlich das Unternehmen gefährdeten. Um kritische Unternehmensdaten zu schützen und gleichzeitig eine reibungslose Benutzererfahrung für Teams zu ermöglichen, wählt die adaptive MFA die richtigen Faktoren für die mit einer Anfrage verbundene Risikostufe. Sie analysiert die Zugriffsanfrage eines Benutzers – das Netzwerk, den Standort, das verwendete Gerät und die gewünschten Daten –, um zu bestimmen, welche zusätzlichen Faktoren erforderlich sind.
Beispielsweise ist es möglich, dass ein Mitarbeiter, der während der Arbeit vom Büro aus auf eine Dateifreigabe-Anwendung zugreift, einen weniger strengen zweiten Faktor benötigt (insbesondere, wenn der Zugriff über ein verwaltetes Gerät erfolgt), während derselbe Mitarbeiter, der den gleichen Zugriff von einem externen Standort aus anfordert, eine Step-up-Authentifizierung durchlaufen muss. Wenn diese Anwendung sensiblere Informationen enthielte, z. B. solche, auf die privilegierte Systembenutzer zugreifen, würde eine Anforderung vom falschen Ort oder zur falschen Zeit einen viel stärkeren zweiten Sicherheitsfaktor erfordern oder überhaupt nicht zugelassen werden.
Aus der Praxis: Lesen Sie, wie einer unserer Kunden, Funding Circle, wichtige Finanzdaten sichert.
Der nächste Schritt: Entwicklung von Richtlinien für eine anspruchsvollere MFA
Während die Implementierung einer adaptiven MFA-Lösung schon viele der Herausforderungen bewältigt, die sich aus den Risiken von Faktoren mit geringer Sicherheit ergeben, ist auch die Festlegung von für Ihr Unternehmen geeigneten Richtlinien entscheidend für eine erfolgreiche Einführung. Fordern Sie zuerst, dass die Endbenutzer nur die sichersten MFA-Faktoren auswählen, und streichen Sie Sicherheitsfragen und SMS als mögliche Faktoren für risikoreiche Zugriffsanforderungen. Richten Sie mit Ihrem IT-Team Geräteverwaltungs- und BYOD-Richtlinien ein, um sorgfältig zu überwachen, ob Zugriffsanforderungen von nicht verwalteten Geräten eine Step-up-Authentifizierung erfordern. Fordern Sie außerdem immer dann eine MFA, wenn ein Benutzer versucht, seine IP-Adresse über einen Proxy zu maskieren.
Und schließlich: Machen Sie Faktoren mit höherer Sicherheit wie Einmalpasswörter, Soft- oder physische Token oder sogar Biometrie zum Standard. Mit den richtigen adaptiven MFA-Richtlinien schließen sich Sicherheit und Benutzerfreundlichkeit nicht mehr gegenseitig aus.
Wünschen Sie weitere Informationen zur adaptiven Multi-Faktor-Authentifizierung?
- Lesen Sie unser Whitepaper über die 7 Punkte, die Sie vor der Umstellung auf MFA beachten sollten.
- Sehen Sie sich unsere Demo zur adaptiven Multi-Faktor-Authentifizierung an.
- Oder probieren Sie es selbst aus – die ersten 30 Tage sind kostenlos!