Die Multifaktor-Authentifizierung (MFA) kann ein kompliziertes Thema sein. Jüngste Kontroversen wie die Erhebung von Gebühren für SMS-basierte MFA durch Twitter/X haben für Schlagzeilen gesorgt. Und trotz ihres wirksamen Schutzes vor Cyberangriffen ist MFA noch längst nicht weitläufig akzeptiert.
Der Bericht „State of MFA 2023“ von Prove Identity ergab, dass weniger als die Hälfte (48 %) der Arbeitgeber den Einsatz von MFA am Arbeitsplatz von ihren Mitarbeitern verlangen. Nur 19 % der befragten Verbraucher gaben an, dass sie MFA für ihre Arbeitskonten verwenden müssen. Trotz der schlechten Presse bleibt MFA ein wichtiges Instrument zur Sicherung Ihres IT-Bestands und der Zugangsdaten Ihrer Benutzer.
MFA-Grundlagen auffrischen
Wir haben die Grundlagen der MFA bereits im Jahr 2020 erläutert, aber die Dinge im Cyberspace ändern sich schnell, daher ist eine Auffrischung immer gut. MFA ist eine Methode zum Schutz Ihrer Zugangsdaten, bei der Sie vor der Anmeldung bei einem Konto einen weiteren Faktor eingeben oder angeben müssen. Es stehen drei Arten von Faktoren zur Auswahl:
- Etwas, das Sie wissen: Dazu gehören Passwörter, eine PIN und auch Sicherheitsfragen, wie die klassische Abfrage des Mädchennamens der Mutter.
- Etwas, das Sie haben: Dabei kann es sich um einen Token oder eine Smartcard handeln. In zunehmendem Maße kann dies ein registriertes mobiles Gerät oder ein E-Mail-Konto sein, das einen Einmalcode oder ein Passwort empfangen kann.
- Etwas, das Sie verkörpert: Dies bezieht sich auf biometrische Faktoren wie Fingerabdrücke, Gesichtserkennung oder Iris-Scans.
Wenn ein Konto die MFA zum Anmelden erfordert, werden Sie nach dem Faktor „etwas, das Sie wissen“ gefragt und dann aufgefordert, dies mit mindestens einem der anderen Faktoren zu bestätigen. Diese zusätzliche Schutzebene ist sehr effektiv, um erfolgreiche Verstöße zu verhindern. Selbst wenn sich ein Angreifer Ihre Zugangsdaten verschafft hat, ist es für ihn sehr schwierig, einen Token oder einen biometrischen Faktor zu fälschen.
Wie effektiv ist MFA?
Die Multifaktor-Authentifizierung ist immer noch eine der besten Möglichkeiten, Ihre Zugangsdaten – oder die Ihrer Mitarbeiter – zu schützen. Alex Weinert, VP Director of Identity Security bei Microsoft, ist der Meinung, dass „basierend auf unseren Studien die Wahrscheinlichkeit, dass Ihr Konto kompromittiert wird, mit MFA um mehr als 99,9 % geringer ist.“
Das ist eine ziemlich motivierende Statistik. Die Effektivität von MFA beim Verhindern von Angriffen hat jedoch zu Kampagnen geführt, die die MFA-Müdigkeit auszunutzen versuchen, d. h. dass Benutzer gefälschte MFA-Anfragen ohne nähere Prüfung akzeptieren. Microsoft berichtet von über 382.000 solcher Angriffe im Jahr 2022. Dies hat das Unternehmen dazu veranlasst, seine Microsoft Authenticator-App zu aktualisieren, um das Risiko zu reduzieren. Es gab auch „Adversary in the Middle“-Phishing-Angriffe, die den MFA-Zugriff zu kompromittieren versuchen. Auch beim Einsatz von MFA ist eine gute Cybersecurity-Hygiene wichtig. Diese Angriffe sind zwar schwerwiegend, doch gibt es Lösungen dafür: Die Verwendung von zertifikatsbasierter Authentifizierung und Zugangskontrolle kann das Risiko eines erfolgreichen Angriffs dieser Art minimieren.
Auch MFA wird zunehmend als grundlegender Bestandteil der Unternehmenssicherheit angesehen, nicht zuletzt von Regulierungsbehörden und Beratungsgremien. Im Vereinigten Königreich rät u. a. das Information Commissioner's Office für effektive Sicherheit zu einer Form von MFA zur Verstärkung von Passwörtern als absolutes Minimum.
Die Einführung von MFA kann man jedoch mit einem Schlachtfeld vergleichen – wie bei allen Sicherheitsmaßnahmen funktioniert sie nur, wenn sie für die Benutzer so praktisch und problemlos wie möglich ist. Das britische National Cyber Security Centre hat einige gute Ratschläge, wie man über Passwörter hinausgeht, ohne die Benutzer in den Wahnsinn zu treiben. Die Realität sieht so aus, dass die meisten Menschen bereits mindestens eine Zwei-Faktor-Authentifizierung für grundlegende Online-Services verwenden. Der Bericht „State of MFA 2023“ ergab, dass mehr als 60 % der Verbraucher MFA für den Zugriff auf Online-Banking, Gesundheitsportale und -apps sowie Versicherungskonten nutzen. Die meisten Menschen haben außerhalb der Arbeit Erfahrung damit, und sei es nur, um die Option zum Aktivieren der Multi-Faktor-Authentifizierung abzulehnen.
Wenn Sie die MFA-Erfahrung optimieren, haben Sie die besten Chancen auf eine höhere Akzeptanzrate. Die biometrische Identifizierung über das Mobiltelefon anstelle von Einmalpasswörtern ist ein wichtiger Faktor für die Einführung von MFA. Wenn Sie es Ihren Mitarbeitern leicht machen, wird der Widerstand gegen die Verwendung von MFA deutlich geringer ausfallen. Zusätzlich sind Sie besser gegen alle Verstöße gewappnet, bei denen es um gestohlene Zugangsdaten geht.
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.
