Die Multifaktorauthentifizierung ist der Schlüssel für Unternehmen, die Cloud-Ressourcen schützen

Wenn Sie nachweisen, wer Sie bei einem Identitätsverwaltungssystem (IDM) sind, haben Sie möglicherweise festgestellt, dass in letzter Zeit immer mehr von ihnen einen zusätzlichen Schritt neben Ihrer Benutzer-ID und Ihrem Kennwort erfordern, z. B. Eingabeaufforderungen, die beim Anmelden Codes an Ihr Telefon senden auf Google Mail, Twitter oder Ihr Bankkonto von einem anderen Gerät als dem, das Sie normalerweise verwenden. Vergessen Sie nur nicht den Namen Ihres ersten Haustieres oder den Geburtsort Ihrer Mutter, da Sie diese Informationen wahrscheinlich eingeben müssen, um Ihre Identität zu beweisen. Diese in Kombination mit einem Kennwort erforderlichen Daten sind eine Form der Multifactor Authentication (MFA).

MFA ist nicht neu. Es begann als physikalische Technologie; Smartcards und USB-Dongles sind zwei Beispiele für Geräte, die wir benötigen, um uns bei Computern oder Softwarediensten anzumelden, sobald das richtige Kennwort eingegeben wurde. MFA hat diesen Anmeldeprozess jedoch rasch weiterentwickelt, um auch andere Kennungen einzubeziehen, z. B. Push-Benachrichtigungen für Mobilgeräte.

"Die alten Zeiten, in denen Unternehmen Hardware-Token bereitstellen mussten, waren vorbei und die Benutzer waren frustriert, sechsstellige Codes einzugeben, die sich alle 60 Sekunden drehten", sagte Tim Steinkopf, President von Centrify Corp., Hersteller des Centrify Identity Service. "Das war teuer und eine schlechte Benutzererfahrung. Jetzt ist MFA so einfach wie das Empfangen einer Push-Benachrichtigung an Ihr Telefon." Doch auch die Codes, die wir über den Short Message Service (SMS) erhalten, sind laut Steinkopf verpönt.

"SMS ist keine sichere Transportmethode für MFA-Codes mehr, da sie abgefangen werden können", sagte er. "Für hochsensible Ressourcen müssen Unternehmen jetzt noch sicherere Kryptotoken in Betracht ziehen, die den neuen Standards der Fast IDentity Online (FIDO) Alliance entsprechen." Zusätzlich zu Kryptotoken enthalten die FIDO2-Standards die Web-Authentifizierungsspezifikation des World Wide Web Consortium (W3C) und das Client-to-Authenticator-Protokoll (CTAP). Die FIDO2-Standards unterstützen auch Benutzergesten mithilfe eingebetteter biometrischer Daten wie Gesichtserkennung, Fingerabdruckwischen und Iris-Scannen.

Um MFA verwenden zu können, müssen Sie eine Mischung aus Kennwörtern und Fragen für Geräte wie Smartphones eingeben oder Fingerabdrücke und Gesichtserkennung verwenden, erklärte Joe Diamond, Direktor für Marketingmanagement für Sicherheitsprodukte bei Okta, Hersteller von Okta Identity Management.

"Immer mehr Unternehmen erkennen die Sicherheitsrisiken, die mit SMS-basierten Einmalkennwörtern verbunden sind, als MFA-Faktor. Es ist für einen schlechten Akteur ziemlich trivial, die SIM-Karte auszutauschen und die Handynummer zu übernehmen", sagte Diamond. "Jeder Benutzer, der dem Risiko eines solchen gezielten Angriffs ausgesetzt ist, sollte stärkere zweite Faktoren wie einen biometrischen Faktor oder einen harten Token implementieren, der einen kryptografischen Handshake zwischen dem Gerät und dem Dienst erzeugt."

Manchmal ist MFA nicht perfekt. Am 27. November erlitt Microsoft Azure einen Ausfall im Zusammenhang mit MFA aufgrund eines DNS-Fehlers (Domain Name System), der viele fehlgeschlagene Anforderungen verursachte, als Benutzer versuchten, sich bei Diensten wie Active Directory anzumelden.

Bildnachweis: FIDO Alliance

Mobile Push-Benachrichtigungen

Experten betrachten mobile Push-Benachrichtigungen als die beste Option der "Sicherheitsfaktoren", da sie eine effektive Kombination aus Sicherheit und Benutzerfreundlichkeit bieten. Eine Anwendung sendet eine Nachricht an das Telefon eines Benutzers und benachrichtigt die Person, dass der Dienst versucht, den Benutzer anzumelden oder Daten zu senden.

"Sie melden sich bei einem Netzwerk an, und anstatt nur Ihr Kennwort einzugeben, werden Sie zu Ihrem Gerät weitergeleitet, auf dem" Ja "oder" Nein "steht. Sie versuchen, dieses Gerät zu authentifizieren, und wenn Sie" Ja "sagen, erhalten Sie Zugriff darauf das Netzwerk ", erklärte Dave Lewis, CISO (Global Advisory Chief Information Security Officer) für das Duo-Sicherheitsgeschäft von Cisco, das die mobile Authentifizierungs-App Duo Push anbietet. Weitere Produkte, die MFA anbieten, sind das Yubico YubiKey 5 NFC und das Ping Identity PingOne.

Bei Push-Benachrichtigungen für Mobilgeräte fehlen die einmaligen Kennwörter, die per SMS gesendet wurden, da diese Kennwörter relativ leicht gehackt werden können. Die Verschlüsselung macht die Benachrichtigungen effektiv, so Hed Kovetz, Mitbegründer und CEO des MFA-Lösungsanbieters Silverfort.

"Es ist nur ein Klick und die Sicherheit ist sehr hoch, weil es sich um ein ganz anderes Gerät handelt", sagte er. "Sie können die App ändern, wenn sie kompromittiert ist, und sie ist mit modernen Protokollen vollständig verschlüsselt und authentifiziert. Sie ähnelt beispielsweise keiner SMS, die leicht kompromittiert werden kann, da der Standard im Grunde schwach ist und mit den Signaling System 7 (SS7) -Angriffen leicht verletzt wird und alle möglichen anderen Angriffe auf SMS."

MFA beinhaltet Zero Trust

MFA ist ein wichtiger Bestandteil des Zero Trust-Modells, bei dem Sie keinen Netzwerkbenutzern vertrauen, bis Sie überprüft haben, ob diese legitim sind. "Das Anwenden von MFA ist ein notwendiger Schritt, um zu überprüfen, ob der Benutzer tatsächlich der ist, von dem er sagt, dass er er ist", sagte Steinkopf.

"MFA spielt eine entscheidende Rolle im Zero Trust-Reifegradmodell eines Unternehmens, da wir zuerst das Vertrauen der Benutzer herstellen müssen, bevor wir Zugriff gewähren können", fügte Okta's Diamond hinzu. "Dies muss auch mit einer zentralisierten Identitätsstrategie für alle Ressourcen gekoppelt sein, damit MFA-Richtlinien mit Zugriffsrichtlinien kombiniert werden können, um sicherzustellen, dass die richtigen Benutzer den richtigen Zugriff auf die richtigen Ressourcen haben, und zwar so reibungslos wie möglich."

Bildnachweis: FIDO Alliance

Werden Passwörter ersetzt?

Viele Menschen sind möglicherweise nicht bereit, Kennwörter aufzugeben, aber wenn sich Benutzer weiterhin auf sie verlassen, müssen sie geschützt werden. Tatsächlich ergab der Data Breach Report 2017 von Verizon, dass 81 Prozent der Datenschutzverletzungen auf gestohlene Passwörter zurückzuführen sind. Diese Art von Statistiken machen Kennwörter zu einem Problem für jedes Unternehmen, das seine Systeme zuverlässig schützen möchte.

"Wenn wir Passwörter lösen und sie erhalten und eine intelligentere Art der Authentifizierung verwenden können, werden wir die meisten Datenverletzungen verhindern, die heute auftreten", sagte Kovetz von Silverfort.

Es ist nicht wahrscheinlich, dass Kennwörter überall verschwinden, aber sie werden möglicherweise für bestimmte Apps entfernt, so Kovetz von Silverfort. Er sagte, dass das Eliminieren von Passwörtern für Computerhardware und Internet of Things-Geräte (IoT) komplexer sein würde. Ein weiterer Grund, warum er sagte, dass eine vollständige passwortlose Authentifizierung möglicherweise nicht so schnell stattfinden wird, ist, dass die Menschen psychisch an sie gebunden sind.

Der Übergang von Passwörtern ist laut Lewis von Cisco auch mit einem kulturellen Wandel in Unternehmen verbunden. "Die Abkehr von statischen Passwörtern zu MFA ist ein grundlegender kultureller Wandel", sagte Lewis. "Man bringt die Leute dazu, Dinge anders zu machen als seit Jahren."

MFA-Verarbeitung und künstliche Intelligenz

Künstliche Intelligenz (KI) wird verwendet, um IDM-Administratoren und MFA-Systemen bei der Bewältigung einer Flut neuer Anmeldedaten zu helfen. MFA-Lösungen von Anbietern wie Silverfort wenden AI an, um Einblicke zu erhalten, wann MFA erforderlich ist und wann nicht.

"Wenn Sie den AI-Teil kombinieren, können Sie zunächst entscheiden, ob für eine bestimmte Authentifizierung MFA erforderlich ist oder nicht", sagte Kovetz von Silverfort. Er sagte, dass die ML-Komponente (Machine Learning) der App möglicherweise ein hohes Risiko aufweist, wenn ein abnormales Aktivitätsmuster festgestellt wird, z. B. wenn plötzlich jemand in China auf das Konto eines Mitarbeiters zugreift und der Mitarbeiter regelmäßig in den USA arbeitet.

"Wenn sich ein Benutzer mit seinem eigenen firmeneigenen PC aus dem Büro heraus bei einer Anwendung anmeldet, ist MFA nicht erforderlich, wie es 'normal' ist", erklärte Steinkopf von Centrify. "Wenn derselbe Benutzer jedoch ins Ausland reist oder das Gerät einer anderen Person verwendet, wird diese Person zur Eingabe von MFA aufgefordert, da das Risiko höher ist." Steinkopf fügte hinzu, dass MFA häufig ein erster Schritt bei der Verwendung zusätzlicher Überprüfungstechniken ist.

CIOs beobachten auch aufmerksam die Verhaltensbiometrie, was bei neuen MFA-Bereitstellungen zu einem wachsenden Trend geworden ist. Behavorial Biometrics verwendet Software, um zu verfolgen, wie Benutzer tippen oder wischen. Dies hört sich zwar einfach an, erfordert jedoch die Verarbeitung großer Datenmengen, die sich schnell ändern. Aus diesem Grund setzen Anbieter ML ein, um zu helfen.

"Der Wert in ML für die Authentifizierung besteht darin, mehrere komplexe Signale auszuwerten, anhand dieser Signale eine Basisidentität des Benutzers zu ermitteln und auf Anomalien dieser Basis zu achten", sagte Okta's Diamond. "Die Verhaltensbiometrie ist ein Beispiel, bei dem dies zum Tragen kommen kann. Um zu verstehen, wie ein Benutzer sein Gerät eingibt, geht oder auf andere Weise mit ihm interagiert, ist ein fortschrittliches Intelligenzsystem erforderlich, um dieses Benutzerprofil zu erstellen."

Verschwindende Perimeter

Mit der Entwicklung der Cloud-Infrastruktur, der Cloud-Services und insbesondere des hohen Datenvolumens von externen IoT-Geräten gibt es jetzt mehr als nur einen physischen Perimeter am Rechenzentrumsstandort eines Unternehmens. Es gibt auch einen virtuellen Perimeter, der die Vermögenswerte des Unternehmens in der Cloud schützen muss. In beiden Szenarien spielt nach Kovetz die Identität eine Schlüsselrolle.

"Früher wurden Perimeter physisch definiert, so wie im Büro, aber heute werden Perimeter durch Identität definiert", sagte Kovetz. Mit dem Verschwinden der Perimeter verschwinden auch die Schutzmechanismen, die starke Firewalls für verkabelte Desktop-Computer verwenden. MFA könnte eine Möglichkeit sein, das zu ersetzen, was Firewalls traditionell getan haben, schlug Kovetz vor.

• Zwei-Faktor-Authentifizierung: Wer hat es und wie wird es eingerichtet? Zwei-Faktor-Authentifizierung: Wer hat es und wie wird es eingerichtet?
• Jenseits des Perimeters: Umgang mit mehrschichtiger Sicherheit Jenseits des Perimeters: Umgang mit mehrschichtiger Sicherheit
• Zero Trust-Modell gewinnt mit Sicherheitsexperten an Fahrt Zero Trust-Modell gewinnt mit Sicherheitsexperten an Fahrt

", wo setzen Sie Netzwerksicherheitsprodukte ein?" Fragte Kovetz. "Die Netzwerksicherheit funktioniert nicht mehr wirklich. MFA wird zur neuen Möglichkeit, Ihr perimeterloses Netzwerk tatsächlich zu schützen."

Ein wichtiger Weg, wie sich MFA über den Tellerrand hinaus entwickelt, ist die wachsende Zahl von Identitätssystemen, die auf der Basis von Software-as-a-Service (SaaS) verkauft werden, einschließlich der meisten IDM-Dienste, die PCMag Labs im vergangenen Jahr überprüft hat. "Die große Anzahl von SaaS-Produkten, mit denen KMU problemlos in Betrieb genommen werden können, funktioniert bereits außerhalb der Grenzen", sagte Nathan Rowe, Mitbegründer und Chief Product Officer (CPO) des Datensicherheitsanbieters Evident. Das SaaS-Modell reduziert sowohl die Kosten als auch die Bereitstellungskomplexität drastisch. Daher ist es laut Rowe eine große Hilfe für kleine und mittelständische Unternehmen, da es die IT-Ausgaben und den Overhead senkt.

SaaS-Lösungen sind mit Sicherheit die Zukunft von IDM und damit auch die Zukunft von MFA. Das ist eine gute Nachricht, da auch kleine Unternehmen unaufhaltsam auf eine IT-Architektur mit mehreren Clouds und Cloud-Diensten umsteigen, bei der der einfache Zugriff auf MFA und andere erweiterte Sicherheitsmaßnahmen bald obligatorisch sein wird.