Ratgeber Zwei-Faktor Authentifizierung

15.
Okt
2019
Ratgeber Mehrfaktor Authentifizierung, Tipps Zwei-Faktor Authentifizierung

Do’s and Don’ts für den Einsatz sicherer Authentifizierungen. Ein Ratgeber Zwei-Faktor Authentifizierung, der Ihnen bei der Auswahl der passenden Lösung helfen wird.

Mit einer Zwei-Faktor Authentifizierung (2FA) schützen Sie den internen und externen Zugang zu IT-Infrastrukturen und den Zugriff auf die dort gespeicherten Daten durch einen zweiten Faktor in Form eines zusätzlichen Passwortes (One Time Passcode bzw. Password), biometrischer Merkmale oder individueller Geräte oder Nachweise. Diese Faktoren, müssen gewissen Vorgaben entsprechen. Mehr dazu in unserem Beitrag 99,9 % Sicherheit durch Zwei-Faktor Authentifizierung ebenfalls hier im ProBlog. Es stehen viele Authentifizierungserfahren und Lösungen zur Auswahl. Auch hier gilt: «Der Fisch muss dem Wurm schmecken und nicht dem Angler» Unser sorgfältig recherchierter Ratgeber Zwei-Faktor Authentifizierung, gibt Ihnen einen nützlichen Überblick zur einfachen Identifizierung der für Sie bestmöglichen Lösung.

Eine Lösung für alles anstatt Punktlösungen

Sie haben nur einen VPN-Zugang, beispielsweise von Citrix? Perfekt, dann nutzen Sie – sofern angeboten – die dazu verfügbare Zwei-Faktor Authentifizierung vom gleichen Hersteller. Die meisten Unternehmen und Organisationen nutzen jedoch mehrere unterschiedliche Zugänge und dementsprechend auch einen «Blumenstrauß» an Anmeldeverfahren. Alleine durch BYOD verteilen sich sensible oder personenbezogene Daten auf mehrere Endgeräte in unterschiedlichen Umgebungen außerhalb des Unternehmens. Hierfür die pro Plattform angebotene Zwei-Faktor Authentifizierung einzusetzen ist unsinnig und kostspielig. Sie müssen schließlich alles installieren, ständig auf den neuesten Stand halten und den fehlerfreien Betrieb der Lösungen 24/7 garantieren. Zusätzlich muten Sie Ihren Anwendern auch einiges zu: Sie brauchen beispielsweise eine Smartcard für die sichere Anmeldung am PC, einen Hardware-Token für den VPN-Zugang, einen Soft-Token am Smartphone für das Abrufen von E-Mails und einen SMS-Passcode, wenn Anwender Ihr Anmeldepasswort zurücksetzen müssen.

Ab mehr als einem Zugang, der mit einer Zwei-Faktor Authentifizierung abgesichert werden muss,  ist der Einsatz einer einheitlichen Lösung für alle genutzten Plattformen notwendig. Diese muss kompatibel zu den aktuellen und zukünftigen Plattformen und Herstellern sein. Das mit der Zukunft macht die Sache zugegebenermaßen etwas diffus und schwer vorhersagbar. Wählen Sie deshalb einen Anbieter der aufgrund seiner Größe und Bedeutung auch in Zukunft neue Technologien oder Verfahren zeitnah unterstützt. Size matters!

Weitere Kriterien

Welches Schutzniveau müssen Sie erreichen?

Welches Schutzniveau ist notwendig?

Das sollte die initiale Fragestellung sein! Bei einem hohen Schutzbedarf ist die Auswahl der benötigten Authentifizierungsverfahren entscheidend (siehe unten). Dabei bedeutet ein höherer Schutzbedarf nicht zwangsläufig einen höheren Aufwand beim Login. Unter Umständen sind für unterschiedliche Mitarbeitergruppen auch unterschiedliche Risiken abzudecken.

Zwei-Faktor Authentifizierung früher und heute

Hardware-Token vs. Smart-Devices

Bei den ersten Hardware-Token wurde der OTP (One Time Passcode) am Token und am Anmeldeserver zeitlich synchronisiert und wechselte alle 30 Sekunden. Diese damals geniale Umsetzung passte in die Zeit. Aus heutiger Sicht sind zusätzliche Devices nicht mehr notwendig. Smartphones, Tablets und andere Smart-Devices haben eine hohe Akzeptanz und können OTPs empfangen, generieren und bestätigen. Die Anmeldung wird wie beim Hardware-Token auf zwei unterschiedliche Endgeräte aufgeteilt. Damit ist die Sicherheit mit denen eines Hardware-Tokens vergleichbar.

 

Welche Remote-Plattformen müssen unterstützt werden?

Welche Plattformen und Protokolle müssen durch die Zwei-Faktor Authentifizierung unterstützt werden?

Eine 2FA muss sich in alle bestehenden Plattformen nahtlos integrieren und auch für zukünftige Szenarien (soweit absehbar!) passen. Die Anmeldung mittels zweitem Faktor muss für den Anwender bei allen Plattformen transparent und immer eindeutig sein. Ständig wechselnde Workflows und Anmelde GUIs verwirren Anwender und führen in der Folge zu Fehlern.

Nutzen Sie Cloud- und/oder Web-Applikationen bzw. Services?

Können neben den klassischen Zugängen auf Unternehmensdaten auch Cloud- und Web-Anmeldungen bzw. Applikationen zuverlässig geschützt werden?

Im optimalen Fall stellen Unternehmen nur einen VPN-Zugang nach außen zur Verfügung und erlauben dem Anwender nach korrekter Authentifizierung, den individuellen Zugriff auf ausgewählte Applikationen und Daten. Häufig existieren aber aus historischen Gründen – gerade für für externe Web- oder Cloud-Dienste – mehrere Zugänge. Diese müssen genauso Berücksichtigung finden.

Kann die Zwei-Faktor Authentifizierung RADIUS?

Kann eine von der 2FA nicht unterstützte Anmeldung beispielsweise über einen VPN-Zugang mittels RADIUS-Protokoll trotzdem abgesichert werden?

Der RADIUS Server als «kleinster gemeinsamer Nenner» ist eine sichere Option auch für alle exotischen Plattformen, die per Default von der Zwei-Faktor Authentifizierung nicht unterstützt werden. Ein integrierter Radius Server sollte vorhanden sein.

Ihre Anmeldeszenarien im Blick haben.

Haben Sie spezielle Anmeldeszenarien wie z. B. häufige Logins aus dem Ausland und/oder aus Gebieten ohne sichere GSM Verbindung?

Ist ein Smartphone/Tablet und eine GSM-Verbindung unverzichtbarer Teil der Zwei-Faktor Authentifizierung, kann dies im Ausland zusätzliche Kosten erzeugen, die u. U. vom Anwender privat getragen werden müssen (Roaming). Aber selbst bei uns in der D-A-CH Region ist nicht nur in den Alpen die Qualität der GSM-Verbindung nicht immer zuverlässig. Hat man hier den SMS Passcode als zweiten Faktor gewählt, kann eine darauf basierende Anmeldung scheitern. Alle Anmeldeszenarien, die bei Ihnen vorkommen, müssen deshalb von der Lösung abgedeckt werden. Das bedeutet, dass die 2FA mehr als nur ein Authentifizierungsverfahren anbieten muss. Die situationsbedingte Wahl der zur Verfügung gestellten Anmeldeverfahren durch den Anwender entlastet den Helpdesk.

Wie aufwendig ist die Verwaltung für Anwender und Administratoren?
Push Benachrichtigung

Push Benachrichtigung

Können die Anwender selbständig zwischen den Authentifizierungsverfahren wechseln?

Im besten Fall können sich Ihre Anwender ohne zusätzliche Interaktion mit dem immer gleichen Verfahren sicher anmelden. Das eliminiert die Frustration bei Anwender und Anwender-Helpdesk. Für den User sehr einfach ist die sichere Anmeldung über Push-Benachrichtigung. Hier genügt das bestätigen der Anmeldung z.B. auf einem mobilen Endgerät (siehe Bild oben im Text). Wie obige Beispiele zeigen, kommen in der Realität aber unterschiedliche Szenarien vor. Können die User selbständig zwischen den zur Verfügung gestellten Authentifizierungsverfahren wählen, reduzieren Sie den administrativen Aufwand enorm und optimieren die «User Experience».

Nutzung privater Endgeräte.

Erlauben Ihre Anwender die Installation einer Firmen-App auf privaten Mobilgeräten?
Wie groß ist der administrative Aufwand diese Apps dort vorkonfiguriert zu installieren und upzudaten?

Wenn nicht alle Anwender ein vom Unternehmen zur Verfügung gestelltes Smartphone nutzen, dann stellt sich diese Fragen durchaus. In der Folge bedeutet das, dass für alle vorkommenden Betriebssysteme Apps zur Verfügung stehen müssen. Devices mit Jailbreak, oder installierte Apps mit Sicherheitsproblemen stellen ein nicht zu unterschätzendes Sicherheitsrisiko dar. Eine gute Zwei-Faktor Authentifizierung teilt deshalb die Sicherheit auf App und Anmeldeserver im Unternehmen auf und erlaubt den Zugang nur, wenn beide Komponenten zusammenpassen. Das Update der Apps muss über die üblichen App-Stores laufen und die Apps sollten eine Überprüfung der wichtigsten Sicherheitsparameter wie OS- und App-Version sowie Jailbreak ja/nein durchführen können.

Unterschiedliche Rollen notwendig?

Kann die Zwei-Faktor Authentifizierung verschiedene Rollen abbilden, also z.B. Dienstleister vs. Mitarbeiter?

Grundsätzlich gibt es wenig Gründe, warum eine 2FA das nicht können sollte. Außer, die Lösung greift auf das Active Directory zu um dort Konten und Zugangsdaten zu verifizieren. Und dann mag der Aufwand für das Anlegen von temporären Dienstleistern schon fast zu viel Aufwand bedeuten.

Shared Secrets

Keine Geheimnisse teilen

Der Hackerangriff auf RSA aus dem Jahr 2011 zeigt, dass es nicht sinnvoll ist, die sogenannten «Seed Records» verteilt aufzubewahren. Damals konnten aufgrund der Seriennummern der RSA SecurID Token die OTPs pro RSA Kunde berechnet werden. In der Folge führte das zu Cyber-Attacken beispielsweise auf Rüstungsunternehmen. Die Speicherung der Seed Records, also der Algorithmen zur Berechnung des OTPs beim Hersteller ist ein unnötiger zweiter Angriffsvektor.

Unterschiede beim Schutzniveau

Nicht jedes Authentifizierungsverfahren jenseits der statischen Anmeldefaktoren Benutzername und Passwort können automatisch als starke bzw. sichere Authentisierung bezeichnet werden. Eine zeitlich unlimitiert gültige SMS mit einem OTP entspricht den Vorgaben einer Zwei-Faktor Authentifizierung, ist aber durch die Gültigkeitsdauer u.U. angreifbar. Anders verhält es sich, wenn der Passcode in der SMS nur für die Session funktioniert, die sie ausgelöst hat. Jeder Remote-Zugriff wird auch als Session bezeichnet und bekommt von der Remote-Plattform eine eigene Session ID. Ist der One Time Passcode an die Session ID gebunden, ist die Sicherheit deutlich höher. Ebenfalls hohes Schutzniveau erreichen kryptografische Übertragungen und Schlüssel, Zeit basierte Passcodes und Zertifikate. Das Vorhandensein eines Hardware-Tokens, PIN-Karte, RFID Dongle oder eine zusätzliche PIN zum Passwort entsprechen zwar den Vorgaben einer Zwei-Faktor Authentifizierung, sind aber für den Schutz von sensiblen und personenbezogenen Daten nur bedingt geeignet.

 

Zwei-Faktor Authentifizierung vs. Mehrfaktor-Authentifizierung

Oftmals wird auch der Begriff Mehrfaktor-Authentifizierung gebraucht, um im Prinzip eine Zwei-Faktor Authentifizierung zu beschreiben. Das soll mehr Sicherheit suggerieren und bei manchen Authentifizierungsverfahren ist auch tatsächlich mehr Sicherheit integriert.

Bei der Mehrfaktor-Authentifizierung kommen in den meisten Fällen Faktoren aus den Bereichen «Haben», «Sein» und «Wissen» mehrmals vor. Ein Beispiel: Für die sichere Authentifizierung ist zusätzlich ein Soft-Token am Smartphone notwendig. Ist das Smartphone über biometrische Funktionen wie z.B. Fingerabdruck oder Face ID geschützt oder ist eine PIN-Eingabe vorab notwendig dann ist, je nachdem welche Funktion aktiv ist, einer der Faktoren «Sein» oder «Wissen» zusätzlich oder mehrfach notwendig. Es gibt aber auch Lösungen, die bei der sicheren Authentifizierung auch das Anwenderverhalten oder den Aufenthaltsort (Geofencing) berücksichtigen. Erkennt die Lösung eine Anomalität, verweigert sie trotz korrekter Anmeldedaten den Remote-Zugriff. Bei diesen Lösungen kann man dann von richtigen Mehrfaktor Authentifizierungen sprechen.

Fazit:

Die Zwei-Faktor Authentifizierung ist die empfohlene Methode für die Absicherung von internen und externen Zugriffen auf Unternehmens-, Cloud- und Web Dienste und Applikationen. Unser Ratgeber Zwei-Faktor Authentifizierung soll Ihnen die Auswahl der richtigen Lösung erleichtern. Besonderes Augenmerk ist hierbei auf die Anwendungsszenarien und die genutzten Plattformen zu legen. Diese müssen von der Lösung komplett unterstützt werden. Um auch für die Zukunft gewappnet zu sein, ist die Bedeutung des Herstellers der Zwei-Faktor Authentifizierung ebenfalls ein wichtiges Auswahlkriterium. SecurAccess von SecurEnvoy erfüllt die wichtigsten Kriterien und erlaubt eine komplett «tokenlose» Zwei-Faktor Authentifizierung.

Chefredakteur und Geschäftsführer der ProSoft GmbH

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 

Der ProBlog

ist ein Angebot der

ProSoft GmbH
Bürgermeister-Graf-Ring 10
82538 Geretsried

 

Kontakt und Support

Telefon +49 (0) 8171/405-0
Fax  + 49 (0) 8171/405-400
info@prosoft.de

Share This