- Einführung in IAM
- Was ist MFA?
Was ist Multi-Faktor-Authentifizierung (MFA)?
Der Begriff „Multi-Faktor-Authentifizierung“ (MFA) bezeichnet eine Authentifizierungsmethode, bei der der Nutzer zwei oder mehr Authentifizierungsfaktoren angeben muss, bevor er Zugriff auf die gewünschte Ressource erhält. Ein Authentifizierungsfaktor ist ein Mechanismus, der zur Ausführung der Authentifizierung genutzt wird, beispielsweise ein Nutzername und ein Passwort, ein Einmalcode, eine Smartcard usw. Bei einer MFA-Strategie wird ein Nutzer, der sich anmeldet, um bestimmte Ressourcen zu nutzen, von der App, dem Web-Server usw. dazu aufgefordert, einen zweiten oder weitere Authentifizierungsfaktoren anzugeben, wie der Name schon sagt. Diese Authentifizierungsfaktoren, zu denen auch biometrische Daten wie z. B. Gesichtserkennung gehören können, verhelfen den Systemen zu einer größeren Sicherheit in Bezug auf die Identität ihrer Nutzer. Auf diese Weise trägt die MFA dazu bei, das Risiko eines Identitätsbetrugs oder Diebstahls von Anmeldedaten zu verringern.
Wenn Sie schon einmal einen zeitlich begrenzt gültigen Code per SMS an Ihr Smartphone erhalten haben, haben Sie MFA in der Praxis erlebt. Die Kombination eines traditionellen Benutzernamens und eines Passworts mit SMS-Codes ist ein Beispiel für eine Zwei-Faktor-Authentifizierung, eine Spielart der MFA. Wenn Sie beispielsweise ein Konto bei Facebook oder Google haben, sind Sie von diesen Diensten vermutlich schon einmal aufgefordert worden, die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren. Und wenn Sie diese Funktion freigegeben haben, hat man Ihnen nach der Anmeldung mit Ihrem Benutzernamen und Ihrem Passwort vermutlich einen zeitlich begrenzt gültigen Einmalcode an Ihr Gerät geschickt und Sie aufgefordert, diesen Code einzugeben, um den Authentifizierungsprozess abzuschließen. Bei dem gesamten Anmeldeprozess wurde also mehr als ein Faktor abgefragt, um die Identität des Nutzers zu authentifizieren (Passwort und SMS-Code, auch als Passcode bezeichnet).
Hinweis: Wenn Sie Single Sign-on nutzen, ist die Multi-Faktor-Authentifizierung sehr zu empfehlen, da sie das potenzielle Risiko eines Identitätsdiebstahls mindert.
Welche unterschiedlichen Faktoren gibt es bei der MFA?
Es gibt viele Beispiele für verschiedene Faktoren, die ein mit MFA gesichertes System nutzen kann, um mehr Sicherheit im Hinblick auf die Identität seiner Nutzer zu erhalten.
- Ein Passwort
- Zeitlich begrenzt gültige Einmalcodes, die an eine mobile App gesendet werden
- Ein Einmalkennwort, das für eine Web-App genutzt werden kann
- Authentifizierung über biometrische Daten (z. B. Fingerabdruck oder Gesichtserkennung)
- QR-Codes, Smartcard
Da es viele verschiedene Arten von Faktoren für die Authentifizierung von Endnutzern gibt, haben Sicherheitsexperten sie in drei Kategorien eingeteilt:
Wissen: Diese Kategorie bezieht sich auf Authentifizierungsfaktoren, bei denen der Nutzer nachweisen muss, dass er etwas kennt (wie z. B. ein Passwort oder die Antwort auf eine Sicherheitsfrage – auch wenn die letztgenannte Methode weniger häufig verwendet wird, da sie aufgrund des Online-Abgreifens von Nutzerdaten weniger sicher ist).
Besitz: Hierfür muss der Nutzer nachweisen, dass er etwas besitzt (z. B. ein Mobilgerät, auf dem er einen SMS-Code empfangen kann).
Inhärenz: Die letzte Kategorie umfasst Faktoren, bei denen der Nutzer seine Identität anhand biometrischer Daten nachweisen muss (z. B. Retina-Scan, Gesichtserkennung oder Fingerabdruck).
Step-Up-Authentifizierung mit MFA
Ein Mechanismus, mit dem immer mehr moderne Anwendungen ihre Sicherheit erhöhen, ist die „Step-Up-Authentifizierung“. Dieser Mechanismus nutzt MFA, um die Sicherheit in bestimmten Bereichen einer Anwendung zu erhöhen. Kurz gesagt fragt die Anwendung Nutzer nur dann nach zusätzlichen Faktoren, wenn sie auf bestimmte Ressourcen zugreifen wollen, die sensibler als andere sind.
Stellen Sie sich beispielsweise ein System vor, bei dem sich ein Nutzer mit seinem Benutzernamen und seinem Passwort anmelden muss, um auf Kundendaten zuzugreifen. Dies ist eine gängige Aktion, die viele Mitarbeiter täglich durchführen und die möglicherweise nicht als sensibel erachtet wird. Allerdings könnte die Aktualisierung der Kundendaten oder der Zugriff auf spezifischere Daten (wie z. B. die Vertragsbedingungen) durchaus als sensibel gelten und müsste zusätzlich geschützt werden. In einer solchen Situation ist die Step-Up-Authentifizierung die ideale Lösung. Klickt der Nutzer auf „Bearbeiten“, könnte das System einen weiteren Faktor abfragen, um die Gefahr eines unbefugten Zugriffs zu verringern.
Dieser Ansatz sichert in der Regel ein gutes Gleichgewicht zwischen Nutzererfahrung und Datensicherheit. Anstatt Nutzer bei der Erledigung alltäglicher Aufgaben bei jeder Anmeldung nach unterschiedlichen Faktoren zu fragen, können Sie so nur die Daten sichern, die mehr Schutz benötigen.
Multi-Faktor-Authentifizierung (MFA) mit Auth0
Auth0 ist eine Identitätsplattform, die von Tausenden von Kunden aller Marktsektoren genutzt wird. Auth0 ermöglicht seinen Kunden, das Identitätsmanagement für ihre Apps zu zentralisieren und nutzt dazu MFA. Die Umsetzung der MFA](https://auth0.com/docs/mfa) mit Auth0 ist kinderleicht und umfasst lediglich ein oder zwei einfache Schritte:
Zunächst melden Sie sich bei Ihrem Auth0-Dashboard an, rufen das Fenster für die Multi-Faktor-Authentifizierung auf und wählen die Faktoren, die Sie aktivieren möchten. Sie können beliebig viele Faktoren gleichzeitig anwenden.
Je nachdem, welche Faktoren Sie aktiviert haben, müssen Sie möglicherweise noch weitere Konfigurationen vornehmen. Anschließend sind Ihre Apps sicher und optimal gegen Bedrohungen geschützt.
Abgesehen von der Multi-Faktor-Authentifizierung unterstützt Auth0 auch die Step-Up-Authentifizierung, die genauso einfach aktiviert werden kann. Um mehr darüber zu erfahren, wie Sie mit Auth0 Ihre Apps mit diesen Authentifizierungsfunktionen sichern können, empfehlen wir Ihnen unsere offizielle Dokumentation:
Würden Sie gerne mehr erfahren?
Lesen Sie unsere Einführung in IAM, um sich über weitere Themen rund um das Identitäts- und Zugriffsmanagement zu informieren.
Table of contents