Wie man MFA einrichtet: Ein kurzer Leitfaden

Die Multi-Faktor-Authentifizierung (MFA) bietet starke, zuverlässige Sicherheit gegen die sich schnell entwickelnde Cyberbedrohungslandschaft. MFA verwendet zwei oder mehr Authentifizierungsfaktoren, um die Identität eines Benutzers zu überprüfen, bevor ihm der Zugriff auf ein System oder eine Anwendung gewährt wird.

Aber wie richtet man MFA ein? Lesen Sie weiter, um mehr zu erfahren.

MFA mit Einmalpasswörtern (OTP) einrichten

Im Gegensatz zur Ein-Faktor-Authentifizierung, die nur ein Passwort erfordert, fragen einige zweistufige MFA-Systeme nach Anmeldedaten plus einem Authentifizierungscode. Dieser Code ist ein einmaliger Passcode, der von einer Authentifizierungsanwendung wie Microsoft Authenticator oder Google Authenticator generiert wird, die auf dem Smartphone des Benutzers installiert ist. Dieser zweistufige Authentifizierungsmechanismus stellt sicher, dass ein bösartiger Akteur, selbst wenn er das Passwort des Benutzers erhält, immer noch einen zweiten Schritt durchlaufen muss, um in das Konto einzubrechen.

So richten Sie MFA mit OTP ein

Schritt1: Installieren Sie die Authentifizierungs-App

‍UmMFA mit OTP einzurichten, muss jeder Nutzer eine Authentifizierungs-App auf seinem Gerät installiert haben.

Schritt 2: MFA einrichten

‍1. Der Benutzer navigiert mit einem Computerbrowser zur Einrichtungsseite der App, gibt die von seinem Unternehmen ausgegebenen Daten ein Anmeldedaten und meldet sich an.

2. Er öffnet die Authentifizierungs-App auf seinem Smartphone und scannt den QR-Code, der im Browser erscheint. Dadurch wird die App so eingerichtet, dass sie OTP-Codes generiert.

‍Schritt3: Anmeldung mit MFA

‍1. Wenn sich der Benutzer das nächste Mal bei der App anmelden möchte, gibt er seine vom Unternehmen ausgegebene Anmeldedaten ein und öffnet die Authenticator-App, um ein OTP zu generieren.

2. Er gibt dieses OTP in das System oder die App ein, auf die er zugreifen möchte.

3. Wenn sie das richtige OTP eingeben, wird ihnen der Zugang gewährt. Andernfalls verweigert das System den Zugang.

OTPs können nur einmal zur Anmeldung verwendet werden (in der Regel 30 Sekunden lang gültig). Jeder Versuch, denselben Code erneut zu verwenden, wird abgelehnt. Die Sicherheit besteht darin, dass es schwieriger ist, zwei Sätze von Anmeldedaten zu stehlen als einen. OTPs können immer noch gestohlen werden, z. B. durch spontane Phishing-Angriffe.

MFA mit Sicherheitsschlüsseln einrichten (FIDO2)

Ein Sicherheitsschlüssel ist ein physisches Gerät, das das FIDO2/WebAuthN-Authentifizierungsprotokoll für die Benutzerauthentifizierung verwendet.

Für die FIDO2/WebAuthN MFA-Authentifizierung benötigen Benutzer sowohl ein physisches Gerät als auch Informationen, die nur sie kennen (z. B. die PIN) oder die ihnen gehören (z. B. der Fingerabdruck). Sie verwendet Public-Key-Kryptographie mit einem öffentlichen und einem privaten Schlüssel. Der private Schlüssel verlässt den Sicherheitsschlüssel des Benutzers zu keinem Zeitpunkt. Der öffentliche Schlüssel wird an das System/die Anwendung gesendet, auf das/die der Benutzer zugreifen möchte.  

Wie man MFA mit FIDO2 einrichtet

Schritt1: Melden Sie sich mit Ihrem Passwort beim Dienst an

Schritt 2: Wählen Sie die Option zur Aktivierung eines Sicherheitsschlüssels (dies muss vom Dienst unterstützt werden)

Schritt 3: Wählen Sie Ihren Sicherheitsschlüssel

Schritt 4: Geben Sie einen zweiten Faktor wie eine PIN oder ein biometrisches Merkmal an. Dieser wird zum Schutz des privaten Schlüssels verwendet

Schritt 5: Der Sicherheitsschlüssel erzeugt ein kryptografisches Schlüsselpaar

Der Sicherheitsschlüssel kann nun ein kryptografisches Schlüsselpaar erzeugen. Der private Schlüssel wird auf dem physischen Sicherheitsschlüssel gespeichert. Der öffentliche Schlüssel wird an den Webdienst gesendet, der ihn in seiner Schlüsseldatenbank registriert und ihn mit dem Benutzerkonto zur Authentifizierung verknüpft.

Schritt 6: Der Benutzer meldet sich bei einem Dienst an, der FIDO2/WebAuthN unterstützt

1. Der Benutzer gibt seine Konto-ID an.

2. Der Dienst fordert den Benutzer auf, seine Identität mit seinem Sicherheitsschlüssel zu verifizieren, der auf der Grundlage einer Benutzeraktion, z. B. der Angabe einer PIN oder eines Fingerabdrucks, entsperrt wird.

3. Der Server verifiziert die Antwort des Benutzers mit dem entsprechenden öffentlichen Schlüssel. Wenn die Überprüfung erfolgreich ist, kann der Benutzer auf sein Konto zugreifen.

Wie Sie sehen, bietet FIDO2/WebAuthN eine sicherere Authentifizierung als die passwortbasierte Authentifizierung, vor allem, weil ein physischer Sicherheitsschlüssel (Gerät) benötigt wird. Es gibt jedoch keine Möglichkeit, den im Sicherheitsschlüssel gespeicherten Benutzer Anmeldedaten wiederherzustellen, so dass in den meisten Fällen weiterhin das Passwort als Ausweichlösung verwendet wird. Dieser Fallback bleibt der anfälligste Vektor in FIDO2/WebAuthN.

Passwortlose MFA wie IDEE AuthN einrichten

Eine passwortlose MFA ist eine MFA, die nicht nur eine passwortlose Erfahrung bietet, sondern das Passwort vollständig eliminiert. Ein Beispiel für eine solche MFA ist die IDEE AuthN™. Es eliminiert Passwörter und Berechtigungsdatenbanken. Dadurch werden alle passwortbezogenen Bedrohungen wie Phishing, Key Logging und Brute-Force-Angriffe beseitigt und die Sicherheit deutlich erhöht. Mit integrierten Funktionen wie der fortgeschrittenen Multi-Party-Autorisierung und dem sicheren Identitätsnachweis vereinfacht es auch die Prüfung und Einhaltung von Vorschriften.

Wie man passwortlose MFA mit IDEEAuthNeinrichtet

Schritt 1: Erstellen Sie ein Konto auf dem IDEEs Zero Touch Portal

Schritt 2: Verbinden Sie Unternehmensanwendungen mit AuthN als Identitätsprovider

Verbinden Sie jede Unternehmensanwendung mit AuthN unter Verwendung bestehender Standards wie SAML OIDC, RADIUS, REST API etc. über .

Schritt 3: Installieren Sie die AuthN App

Benutzer installieren IDEE's Authenticator App (AuthN)

Schritt 4: Beweisen Sie Ihre Identität über AuthN

Benutzer weisen ihre Identität sicher nach, um die Authentifizierung zu verbundenen Diensten mit starker passwortloser MFA zu ermöglichen

Schritt 5: Benutzer melden sich an

Benutzer melden sich an, um Dienste sicher und bequem über AuthN zu verbinden

Wichtige Überlegungen zur Einrichtung von MFA

- Unabhängig von der Art der MFA sind diese Überlegungen entscheidend, um eine konsistente, ununterbrochene Sicherheit zu gewährleisten:

- Das Gerät muss registriert sein, um Vertrauen von der Wurzel aus aufzubauen, und seine Authentizität und Vertrauenswürdigkeit zu gewährleisten

- Die Identität des Benutzers muss mit explizitem transitivem Vertrauen an das Gerät und die Authentifizierungsanwendung gebunden sein, um Identitätsdiebstahl zu verhindern

- Die Kontowiederherstellung sollte auf der Client- (Benutzer-) Seite eingerichtet werden

. Es muss eine sichere Identitätsprüfung durchgeführt werden, um sicherzustellen, dass nur der echte Benutzer auf die wiederhergestellten Daten zugreifen kann

- Alle Authentifizierungsdaten sollten über einen sicheren, authentifizierten Kanal gesendet werden

- Der Identitätsanbieter sollte nicht in der Lage sein, Benutzerauthentifizierungsgeheimnisse zu speichern

- Jedes neue Gerät sollte von einem bestehenden vertrauenswürdigen Benutzergerät aus autorisiert werden

Schlussfolgerung

Die Einrichtung von MFA ist einfach - wenn Sie wissen, wonach Sie suchen. Für eine zuverlässige MFA-Lösung, die die perfekte Mischung aus starker Authentifizierung, zuverlässiger Sicherheit und erschwinglichen Kosten bietet, probieren Sie passwortlose MFA mit IDEE AuthN.