Warum ist eine Zwei-Faktor-Authentifizierung erforderlich?
Herkömmliche, passwortbasierte Authentifizierungssysteme sind anfällig für Phishing-Angriffe und die Verwendung schwacher oder wiederverwendeter Passwörter. Da auf viele Systeme von überall über das Internet zugegriffen werden kann, ermöglicht ein kompromittiertes Passwort einem Angreifer, sich unbefugten Zugriff auf ein Benutzerkonto zu verschaffen.
Die Zwei-Faktor-Authentifizierung – auch Zwei-Schritt-Verifizierung genannt – soll eine zusätzliche Schutzebene für Benutzerkonten bieten. Anstatt nur ein Passwort zur Authentifizierung zu benötigen, muss der Benutzer bei der Anmeldung bei einem 2FA-fähigen Konto auch einen zusätzlichen Faktor angeben.
Was sind Authentifizierungsfaktoren?
Authentifizierungsfaktoren werden in drei Kategorien unterteilt:
- Etwas, das Sie wissen: Ein Beispiel für einen Faktor, der „etwas, das Sie wissen“ ist, ist ein Passwort oder die Antwort auf eine Sicherheitsfrage (wie sie zum Zurücksetzen von Passwörtern verwendet werden).
- Etwas, das Sie haben: Etwas, das Sie haben, kann ein Smartphone oder ein physisches Authentifizierungsgerät wie eine Smartcard oder ein Yubikey sein. Diese Geräte können einmalige Zugangscodes generieren oder empfangen, die auf einer Authentifizierungsseite eingegeben werden können.
- Etwas, das Sie sind: „Etwas, das Sie sind“-Faktoren verwenden biometrische Authentifizierung. Beispielsweise muss sich ein Benutzer möglicherweise einem Fingerabdruck, Stimmabdruck oder einem Iris-Scan unterziehen, um Zugriff auf etwas zu erhalten.
Idealerweise sollte ein 2FA-System zwei verschiedene Arten von Faktoren berücksichtigen. Andernfalls besteht bei der Verwendung von zwei gleichen Faktoren, beispielsweise zwei „etwas, das Sie wissen“-Faktoren das Risiko, dass beide gleichzeitig beeinträchtigt werden. Beispielsweise könnten zwei wissensbasierte Faktoren (wie ein Passwort und eine Sicherheitsfrage) bei einem Phishing-Angriff kompromittiert werden, während zwei physische Faktoren (wie ein Smartphone und ein USB-Stick) von einem Taschendieb gestohlen werden könnten.
Eine übliche Kombination ist die Verwendung eines wissensbasierten und eines physikalischen Faktors. Beispielsweise muss ein Benutzer möglicherweise ein Passwort angeben und eine Smartcard oder einen USB-Stick an einen Computer anschließen oder auf eine Bestätigungstaste auf seinem Smartphone tippen. Biometrische Faktoren werden seltener genutzt, da sie schwieriger zu erstellen sind (Fingerabdruck- und Gesichtsscanner Smartphone wurden mehrfach besiegt) und bei Kompromittierung schwer zu ändern sind. Sagen wir es so: Es ist einfach, Ihr Passwort zu ändern, aber viel schwieriger, Ihre Fingerabdrücke oder Netzhäute zu ändern.
Wie funktioniert die Zwei-Faktor-Authentifizierung (2FA)?
2FA funktioniert durch die Darstellung einer Anmeldeseite, die mehrere Eingabeanfragen an einen Benutzer erfordert. Im Allgemeinen handelt es sich dabei um die Abfrage eines Passworts und eines einmaligen Zugangscodes.
Dieser einmalige Zugangscode kann auf verschiedene Arten erworben werden. Eine gängige Option ist der Versand als SMS oder E-Mail. Allerdings ist dieser Ansatz weniger sicher, da er anfällig für Abhör- oder SIM-Swapping-Angriffe ist.
Eine sicherere Option ist ein zeitbasierter Einmalpasswort-Algorithmus (TOTP), wie er in vielen Smartphone-Apps verwendet wird. Während der Einrichtung teilt das Authentifizierungsgerät (Smartphone, USB-Stick usw.) einen geheimen, zufälligen Startwert mit. Sowohl der Server als auch das Authentifizierungsgerät verwenden dann einen gemeinsamen Algorithmus, um diesen Seed im Laufe der Zeit umzuwandeln. Dies bedeutet, dass sie sich zu jedem Zeitpunkt auf die Version dieses Wertes einigen.
Wenn ein Benutzer versucht, sich bei einem Dienst anzumelden, stellt er der Website den aktuellen Wert seines Authentifizierungsgeräts zur Verfügung, der ihn mit seinem aktuellen Wert vergleicht und bei Übereinstimmung die Verbindung autorisiert. Allerdings ist der Bereich möglicher Werte so groß, dass es äußerst unwahrscheinlich ist, dass ein Angreifer den richtigen Code errät, solange dieser noch gültig ist.
So richten Sie die Zwei-Faktor-Authentifizierung (2FA) ein
Der Einsatz der Zwei-Faktor-Authentifizierung hat in den letzten Jahren stark an Popularität gewonnen. Daher verfügen viele große Websites und die meisten Websites, die sensible Daten enthalten und verarbeiten, über eine integrierte Unterstützung für die mehrstufige Authentifizierung. In einigen Fällen drängt eine Website möglicherweise auf die Verwendung der mehrstufigen Authentifizierung und zeigt ein Popup an, das den Benutzer durch den Prozess führt. In anderen Fällen kann es erforderlich sein, die Seite mit den Konto- oder Profileinstellungen aufzurufen, um 2FA einzurichten.
Die Details zur Einrichtung von 2FA hängen vom verwendeten Typ ab. Für SMS- oder E-Mail-basiertes 2FA besteht die einzige Einrichtungsanforderung darin, eine Telefonnummer oder E-Mail-Adresse anzugeben, an die Codes gesendet werden sollen. Für TOTP-basiertes 2FA kann die Installation einer Authentifizierungs-App (wie Authy oder Google Authenticator) oder die Verwendung eines USB-basierten Sicherheitsschlüssels erforderlich sein.
2FA für Unternehmen
Die Zwei-Faktor-Authentifizierung ist nicht nur für Verbraucher von Vorteil. Die Aktivierung von 2FA für den Zugriff auf Unternehmensressourcen kann zum Schutz vor den Auswirkungen kompromittierter Benutzerkennwörter beitragen, insbesondere in dieser Remote-Arbeitswelt.
Check Point bietet einfache Lösungen für die Bereitstellung von 2FA in Ihrem Unternehmen. Dazu gehört die Unterstützung für sicheren Fernzugriff und SASE-Lösungen ( Secure Access Service Edge ). Um Check Point-Lösungen in Aktion zu sehen, fordern Sie bitte eine Vorführung an.
Feedback