Was ist Multi-Faktor-Authentifizierung (MFA) und wie funktioniert sie?

Was bedeutet MFA?

What is Multi-Factor Authentication (MFA)?

Die Multi-Faktor-Authentifizierung (MFA) ist ein Authentifizierungsverfahren, bei dem der Benutzer zwei oder mehr Identitätsnachweise (Faktoren) zur Verifizierung liefern muss, bevor er Zugriff auf die gewünschte Ressource erlangt, beispielsweise auf eine Anwendung, ein Benutzerkonto oder ein VPN. Die MFA spielt eine wesentliche Rolle beim sicheren Identity and Access Management (IAM). Statt nur einen Benutzernamen und ein Kennwort abzufragen, erfordert die MFA zusätzliche Identitätsnachweise, sodass das Risiko eines erfolgreichen Cyberangriffes sinkt.

Was ist MFA? Was ist MFA?

Warum ist die MFA wichtig?

Da Benutzer beim Zugriff auf Anwendungen neben ihrem Benutzernamen und Kennwort weitere Identitätsnachweise erbringen müssen, steigt die Sicherheit für Ihr Unternehmen oder Ihre Organisation – ein wesentlicher Vorteil der MFA. Wenngleich die Kombination aus Benutzername und Kennwort auch einen gewissen Schutz bietet, ist sie doch anfällig für Brute-Force-Angriffe. Zudem könnten die Zugangsdaten durch Dritte ausgespäht werden. Wird beim Authentifizierungsvorgang zusätzlich ein Daumenabdruck oder ein physischer Hardwareschlüssel zur Verifizierung benötigt, haben es Cyberkriminelle deutlich schwerer, auf Ihre vertraulichen Daten und Anwendungen zuzugreifen.

Wie funktioniert die MFA?

Bei der MFA sind zusätzliche Identitätsnachweise (Faktoren) zur Authentifizierung erforderlich. Sehr häufig muss der Benutzer ein zu diesem Zweck generiertes Einmalkennwort (One-Time Password, OTP) eingeben. Dabei handelt es sich um einen 4- bis 8-stelligen Code, der beispielsweise per E-Mail, SMS oder App an den Benutzer gesendet wird. Solch ein OTP muss entweder in regelmäßigen Abständen oder bei jeder Authentifizierungsanfrage neu erzeugt werden. Dazu wird ein Startwert, der dem Benutzer bei seiner erstmaligen Registrierung zugewiesen wurde, mit einem weiteren Faktor kombiniert, beispielsweise mit einem einfachen Zähler oder Zeitstempel.

Drei typische Identitätsnachweise bei der MFA

Bei der MFA kommen in der Regel die folgenden Arten von zusätzlichen Identitätsnachweisen zum Einsatz:

  • Wissen: etwas, das der Benutzer weiß, zum Beispiel ein Kennwort oder eine PIN.
  • Besitz: etwas, das der Benutzer besitzt, zum Beispiel ein Ausweis oder Smartphone.
  • Körper: etwas, das dem Benutzer anhaftet, zum Beispiel ein biometrisches Merkmal wie Fingerabdrücke oder Sprachmuster.

Beispiele für die MFA

Für die Multi-Faktor-Authentifizierung könnten beispielsweise die folgenden Elemente beliebig kombiniert werden:

WISSEN
  • Antwort auf persönliche Sicherheitsfrage
  • Kennwort
  • OTP (eigentlich eine Kombination aus Wissen und Besitz, denn der Benutzer erhält das OTP zum Beispiel über sein Smartphone)
BESITZ
  • OTP, das von Smartphone-Apps erzeugt wird
  • OTP, das per SMS oder E-Mail empfangen wird
  • Ausweis, USB-Gerät, Sicherheitsschlüssel, Chipkarte oder Schlüsselanhänger
  • Software-Token oder ‑Zertifikat
KÖRPER
  • Fingerabdruck, Gesicht (per Scan), Stimme, Netzhaut oder Iris (per Scan) oder ähnliches biometrisches Merkmal
  • Verhalten

Weitere Arten der Multi-Faktor-Authentifizierung

Da die MFA mittlerweile auch maschinelles Lernen (ML) und künstliche Intelligenz (KI) integriert, werden ausgeklügeltere Authentifizierungsmethoden möglich:

STANDORTBASIERTE AUTHENTIFIZIERUNG

Bei der standortbasierten MFA wird üblicherweise die IP-Adresse des Benutzers und, sofern möglich, auch der geografische Standort geprüft. Diese Informationen könnten beispielsweise genutzt werden, um dem Benutzer den Zugriff zu verweigern, wenn er sich nicht an einem per Whitelist autorisierten Standort aufhält. Alternativ könnte der Standort neben einem Kennwort oder OTP auch als zusätzlicher Identitätsnachweis dienen.

ADAPTIVE ODER RISIKOBASIERTE AUTHENTIFIZIERUNG

Eine weitere MFA-Kategorie ist die adaptive Authentifizierung, auch bekannt als risikobasierte Authentifizierung. Dieses Verfahren analysiert bei der Authentifizierung den Kontext und das Benutzerverhalten als zusätzliche Faktoren, um das mit dem Zugriffsversuch verbundene Risiko einzustufen. Zum Beispiel wird geprüft:

  • Von wo aus versucht der Benutzer, auf die Anwendung oder Daten zuzugreifen?
  • Wann findet der Zugriffsversuch statt? Während der üblichen Arbeitszeiten oder nach Feierabend?
  • Welches Gerät wird für den Zugriffsversuch verwendet? Dasselbe Gerät wie am Vortag?
  • Wird die Verbindung über ein privates oder ein öffentliches Netzwerk hergestellt?

Die Risikostufe wird anhand der Antworten auf diese Fragen berechnet. Ist das Risiko hoch, kann der Benutzer zur Übermittlung weiterer Identitätsnachweise aufgefordert werden oder unter Umständen gar nicht auf die Anwendung oder Daten zugreifen. Deswegen wird dieses Verfahren auch als risikobasierte Authentifizierung bezeichnet.

Angenommen, ein Benutzer versucht spät abends, von einem Internetcafé aus auf eine Anwendung zuzugreifen. Handelt es sich um ein unübliches Verhaltensmuster bei diesem Benutzer, schlägt die adaptive MFA Alarm und der Benutzer wird zum Beispiel aufgefordert, zusätzlich zu Benutzername und Kennwort einen Code einzugeben, der an das für den Benutzer registrierte Smartphone gesendet wird. Würde sich derselbe Benutzer wie gewohnt früh um 9 in seinem Büro anmelden, müsste er nur seinen Benutzernamen und das Kennwort eingeben.

Adaptive MFA Adaptive MFA

Cyberkriminelle setzen alles daran, um Zugriff auf Ihre vertraulichen Anwendungen und Daten zu erlangen – ein durchdachtes und konsequent umgesetztes MFA-Verfahren ist ein hervorragender Verteidigungsmechanismus. Mit einer effektiven Datensicherheitsstrategie spart Ihr Unternehmen in Zukunft Zeit und Geld.

Worin liegt der Unterschied zwischen MFA und 2FA (Zwei-Faktor-Authentifizierung)?

Die Begriffe Multi-Faktor-Authentifizierung (MFA) und Zwei-Faktor-Authentifizierung (2FA) werden oft synonym genutzt. Genau genommen handelt es sich bei der 2FA um eine Unterkategorie der MFA, da die 2FA zur Authentifizierung maximal zwei Identitätsnachweise erfordert, während es bei der MFA auch mehr als zwei sein dürfen.

MFA und Cloud-Computing

Cloud-Computing ist aus dem heutigen IT-Alltag nicht mehr wegzudenken. Folglich werden auch MFA-Verfahren umso wichtiger, denn wenn Unternehmen ihre Systeme zunehmend in die Cloud auslagern und Benutzer nicht mehr zwingend dasselbe physische Unternehmensnetzwerk zum Zugriff auf Anwendungen und Daten nutzen, fällt dieser Sicherheitsfaktor weg. Als Ersatz müssen andere Sicherheitsmaßnahmen her, damit wirklich nur befugte Benutzer auf vertrauliche Ressourcen zugreifen können. Da die Cloud Benutzern jederzeit und von überall aus zur Verfügung steht, können mittels MFA zusätzliche Identitätsnachweise abgefragt werden, die sich von Hackern nicht so leicht fälschen oder per Brute-Force-Angriff knacken lassen. So kann geprüft werden, ob ein Benutzer auch wirklich derjenige ist, für den er sich ausgibt.

MFA für Office 365

Viele auf der Cloud basierenden Plattformen wie AWS oder Microsoft Office 365 bieten ihre eigene MFA-Funktionalität. Office 365 nutzt standardmäßig Azure Active Directory (AD) als Authentifizierungssystem. Dabei gibt es gewisse Einschränkungen. Zum Beispiel stehen als zusätzliche Authentifizierungsfaktoren nur vier grundlegende Optionen zur Wahl: Microsoft Authenticator, SMS, Spracherkennung und OAuth-Token. Unter Umständen wird die Lizenzierung auch kostspieliger, je nachdem, welche der Optionen Sie bevorzugen und ob Sie die MFA detailliert für individuelle Benutzer aktivieren möchten.

Mittels Identity as a Service (IDaaS) via OneLogin stehen Ihnen deutlich mehr MFA-Authentifizierungsoptionen zur Verfügung, die sich zudem leichter in Anwendungen außerhalb des Portfolios von Microsoft integrieren lassen.

Related Resources:

MFA von OneLogin

Die MFA-Lösung von OneLogin bietet Schutz vor unberechtigtem Zugriff auf kritische Unternehmensdaten.

Weitere Informationen

So verhindert MFA Sicherheitsverstöße

Multifaktorauthentifizierung kann Schutz vor vielen verschiedenen gängigen Arten von Cyberangriffen bieten.

Weitere Informationen

Checkliste für MFA-Lösung

Finden Sie heraus, worauf Sie bei einer Multi-Factor Authentifizierung achten sollten.

Checkliste anzeigen