Bericht von CISA und NSA deckt Probleme mit MFA und SSO auf

Die Cybersecurity and Infrastructure Security Agency (CISA) und die National Security Agency (NSA) fordern gemeinsam, dass mehr Organisationen Funktionen zu Multi-Faktor-Authentifizierung (MFA) und Single-Sign-On (SSO) implementieren, um die Cybersecurity trotz aller bekannten Herausforderungen zu verbessern.

Management von Identität und Zugriff: In dem Bericht „Herausforderungen für Entwickler und Anbieter“, veröffentlicht von einem „Dauerhaften Security Framework“ (ESF)-Gremium, das CISA und NSA gegründet haben, wird festgestellt, dass MFA eines der wichtigsten Tools ist, das einer Organisation zur Verfügung steht. Es gibt allerdings mehrere Probleme, von denen die Übernahme tendenziell eingeschränkt wird, einschließlich der notorisch schwierigen Implementierung.

Zu den Problemen gehören verwirrende Definitionen und unklare Richtlinienkontrollen, die sich über verschiedene Varianten von MFA erstrecken. Es besteht ein Bedarf an Klarheit, Interoperabilität und Standardisierung, damit Organisationen Vergleiche anstellen und verschiedene Lösungen basierend auf ihren Anforderungen integrieren können. In Ermangelung dieser Transparenz entscheiden sich zu viele Organisationen für MFA-Lösungen, die beispielsweise auf SMS basieren, ohne die Unterschiede zwischen den MFA-Optionen vollständig zu berücksichtigen, heißt es in dem Bericht.

Es obliegt der Anbieter-Community von Identität- und Zugriffsmanagement (IAM) zusammenzuarbeiten, um Verwirrung zu vermeiden und sich auf die Terminologie zu einigen, so der Bericht weiter.

Zu den weiteren Problemen gehört ein Mangel an Klarheit in Bezug auf die Security-Eigenschaften, die bestimmte MFA-Implementierungen bieten. Alle Formen der MFA bieten einen gewissen Schutz vor der Wiederverwendung und Kompromittierung von Passwörtern. Sie haben jedoch unterschiedliche Level von Security bei der Speicherung von Geheimschlüsseln und ihrer allgemeinen Widerstandsfähigkeit gegenüber Phishing-Angriffen.

Schließlich bieten MFA-Lösungen unterschiedliche Level an Unterstützung für die Standards „Public Key Infrastructure (PKI)“ und Fast Identity Online (FIDO)2“. Die meisten IAM-Anbieter von SSO-Plattformen unterstützen sowohl PKI- als auch FIDO2-Authentifizierung, aber nicht alle und dies kann unvollständig sein. PKI wird zum Beispiel möglicherweise in der Authentifizierungsrichtlinie nicht als „Multifaktor“-Echtheitsbestätigung behandelt, da es sich um eine Echtheitsbestätigung handelt, die aufgrund der Art und Weise, wie ihre kryptografischen Schlüssel entsperrt werden, mehrere „Faktoren“ bereitstellt. In ähnlicher Weise können Einschränkungen bei den Arten von FIDO2-Echtheitsbestätigungen vorhanden sein, die registriert werden können und es kann die Möglichkeit fehlen, Richtlinien basierend auf Bescheinigung zu definieren.

Die Unterstützung auf verschiedenen Client-Plattformen sei ebenfalls uneinheitlich und das Management des Lebenszyklus von Zugangsdaten fehle häufig, warnt das Gremium.

In Bezug auf SSO stellt der Bericht fest, dass die Herausforderungen bei der Benutzerfreundlichkeit auch für die Konfiguration der Services von SSO-Anbietern gelten, was durch belastbarere Standards verbessert werden könnte. Auch die Tools zum Verständnis der Vertrauensbeziehungen und der Auswirkungen von Änderungen in der Konfiguration könnten verbessert werden. Darüber hinaus unterstützen Identity Federation-Protokolle wie die Secure Access Markup Language (SAML), eine Vielzahl von unterschiedlichen Konfigurationsprofilen, die bekanntermaßen weniger sicher sind als andere.

Es besteht kein Zweifel, dass MFA und SSO den Gesamtzustand der Cybersecurity erheblich verbessern werden, aber angesichts des aktuellen Reifegrads wären die meisten Organisationen gut beraten, wenn sie sicherstellten, dass sie über eine Cybersecuritystrategie verfügen, die auf tiefgreifender Verteidigung basiert. Schließlich gelingt es Cyberkriminellen nach einem Diebstahl von Zugangsdaten immer besser, Kapital daraus zu schlagen.Es wird vielleicht nicht Monate dauern, bis irgendjemandem auffällt, dass Cyberkriminelle einen Weg gefunden haben, MFA zu umgehen.

Die Implementierung von Multi-Faktor-Authentifizierung (MFA) und Single Sign-On (SSO) kann komplex sein. Leider lässt das Fehlen von MFA und SSO die Tür geöffnet, damit Benutzernamen und Passwörter gestohlen und verkauft oder von Kriminellen weitergegeben werden.