Multi-Faktor-Authentifizierung (MFA)

Die Multi-Faktor-Authentifizierung (MFA) ist eine Methode zur Identifizierung von Benutzern durch zwei oder mehr separate Authentifizierungsschritte. Die Zwei-Faktor-Authentifizierung (2FA) ist die am häufigsten verwendete Art der MFA.

In der Regel erfordert die Multi-Faktor-Authentifizierung eine Kombination aus etwas, das der Benutzer weiß, etwas, das der Benutzer hat, und manchmal etwas, das der Benutzer ist.

• Wissen wie Passwörter, PINs oder geheime Fragen.
• Besitz, wie z. B. eine Zugangskarte, ein Telefon oder ein Hardwareschlüssel.
• Inhärente Faktoren, d. h. biometrische Informationen wie der Fingerabdruck, das Gesicht oder die Stimme des Benutzers.

Die Multi-Faktor-Authentifizierung ist wichtig, um die Sicherheit Ihrer kritischen Systeme zu erhöhen. Dies verhindert, dass Angreifer, die nur über einen dieser Faktoren verfügen, Zugang zu Ihren Konten erhalten. Wenn beispielsweise Ihr Passwort gestohlen wird, haben Sie eine weitere Schutzebene.

Die zusätzlichen MFA-Ebenen können bei ungewöhnlichen oder spezifischen Situationen ausgelöst werden, z. B. bei der Anmeldung von einem anderen Gerät, an einem anderen Ort oder in einem anderen Zeitrahmen.

Einige der am häufigsten verwendeten Multifaktor-Optionen sind:

• Zeitbasiertes Einmal-Passwort (TOTP): Diese Option generiert ein Einmal-Passwort unter Verwendung eines gemeinsamen geheimen Schlüssels und der aktuellen Uhrzeit. Diese Passwörter sind kurzlebig (zwischen 30 und 60 Sekunden) und erfordern, dass die Uhren von Server und Gerät synchronisiert werden. Beispielsweise Google Authenticator.
• SMS-Verifizierung: Diese Methode nutzt etwas, das der Benutzer immer bei sich hat: sein Mobiltelefon. Wenn der Benutzer also versucht, sich anzumelden, wird eine SMS mit einem einmaligen Code an die registrierte Telefonnummer gesendet, mit dem seine Identität bestätigt wird. Ein Beispiel hierfür ist Duo.
• Hardware-Token: Hierbei handelt es sich um kleine Geräte, die angeschlossen (z. B. USB-Dongles) oder nicht angeschlossen (Geräte mit eingebautem Bildschirm) sein können. Sie verfügen über denselben geheimen gemeinsamen Schlüssel wie der Server und verwenden ihn, um das Passwort zu generieren. Zum Beispiel Yubikey.

Mit Auth0 können Sie MFA in wenigen Minuten implementieren! Sie können die vorkonfigurierten Anbieter verwenden oder mithilfe der Erweiterbarkeit von Auth0 ganz einfach einen anderen Anbieter integrieren. Um MFA schnell zu implementieren, führen Sie die folgenden Schritte durch:

1. Klicken Sie im Verwaltungs-Dashboard von Auth0 auf die Option Multifaktor-Auth (Multifactor Auth).
2. Legen Sie den Schalter Multi-Faktor-Authentifizierung aktivieren (Enable Multifactor Auth) um, um die Funktion zu aktivieren.
3. Wählen Sie einen der integrierten Anbieter (Google Authenticator, Duo oder andere) oder fügen Sie Ihren eigenen ein, indem Sie ein paar Zeilen Code in die erweiterbare Auth0-Plattform schreiben. (Enabling MFA)
4. Passen Sie den Anbieter an. Ersetzen Sie einfach den Platzhalter durch Ihre CLIENT ID und schon kann es losgehen! (Customizing your MFA Provider)

Aber damit sind die Möglichkeiten noch nicht erschöpft. Sie können sogar Ihre eigenen Regeln erstellen, wann MFA ausgelöst wird.

Der adaptive kontextabhängige Multifaktor ermöglicht es Ihnen, MFA oder zusätzliche Authentifizierungsebenen auf der Grundlage verschiedener Bedingungen zu erzwingen, wie z. B.: geografischer Standort, Tageszeit/Woche, Art des Netzwerks, benutzerdefinierte Domains, bestimmte IPs oder jede beliebige Bedingung, die in Code auf der Auth0-Plattform ausgedrückt werden kann.

Standardmäßig wird der Multifaktor nur einmal pro Monat abgefragt. Sie können jedoch erzwingen, dass er bei jeder Anmeldung des Benutzers abgefragt wird, oder sogar Ihre eigenen Regeln definieren, um MFA auszulösen.

Sie können Regeln definieren, z. B. für den Zugriff auf geschäftskritische Anwendungen von außerhalb des Intranets Ihres Unternehmens, für den Zugriff von einem anderen Gerät oder von einem neuen Standort aus.

Wenn Sie einen anderen MFA-Anbieter verwenden oder einen eigenen erstellen möchten, können Sie das Weiterleitungsprotokoll (redirect protocol) in Auth0 verwenden.

Um einen benutzerdefinierten MFA-Anbieter zu verwenden, können Sie die Authentifizierungstransaktion unterbrechen und den Benutzer an eine beliebige URL weiterleiten, wo ein zusätzlicher Authentifizierungsfaktor auftreten kann. Nachdem dieser Vorgang abgeschlossen ist (erfolgreich oder nicht), kann die Transaktion in Auth0 zur weiteren Verarbeitung fortgesetzt werden. Der folgende Code zeigt, wie einfach das geht.

function(user, context, callback) {
    if (condition() && context.protocol !== 'redirect') {
        context.redirect = {
            url: 'https://your_custom_mfa'
        };
    }
    if (context.protocol === 'redirect') {
        //TODO: handle the result of the MFA step
    }
    callback(null, user, context);
}

Wir sind HIPAA- und SOC2-konform, wodurch Sie sich sicher sein können, dass wir alle bewährten Verfahren des Identitätsmanagements einhalten. Und wenn Sie eine zusätzliche Sicherheitsebene benötigen, können Sie mit nur einem Klick erweiterte Richtlinien wie Multi-Faktor-Authentifizierung, Passwortrichtlinien, Brute-Force-Schutz und vieles mehr aktivieren!