Fordern Sie noch heute eine kostenlose Demo an!
Die Multi-Faktor-Authentifizierung (MFA) bietet starke, zuverlässige Sicherheit gegen die sich schnell entwickelnde Cyberbedrohungslandschaft. MFA verwendet zwei oder mehr Authentifizierungsfaktoren, um die Identität eines Benutzers zu überprüfen, bevor ihm der Zugriff auf ein System oder eine Anwendung gewährt wird.
Aber wie richtet man MFA ein?
Lesen Sie weiter, um mehr zu erfahren.
MFA mit Einmalpasswörtern (OTP) einrichten
Im Gegensatz zur Ein-Faktor-Authentifizierung, die nur ein Passwort erfordert, verlangen einige zweistufige MFA-Systeme die Eingabe von Anmeldedaten sowie eines Authentifizierungscodes. Dieser Code ist ein einmaliger Passcode, der von einer Authentifizierungsanwendung wie Microsoft Authenticator oder Google Authenticator generiert wird, die auf dem Smartphone des Benutzers installiert ist. Dieser zweistufige Authentifizierungsmechanismus stellt sicher, dass ein bösartiger Akteur, selbst wenn er das Passwort des Benutzers erhält, immer noch einen zweiten Schritt durchlaufen muss, um in das Konto einzubrechen.
So richten Sie MFA mit OTP ein
Schritt 1: Installieren Sie die Authenticator-App
Um MFA mit OTP einzurichten, müsste jeder Nutzer eine Authentifizierungs-App auf seinem Gerät installiert haben.
Schritt 2: MFA einrichten
1. Der Benutzer navigiert mit einem Computerbrowser zur Einrichtungsseite der App, gibt seine firmeneigene Anmeldedaten ein und meldet sich an.
2. Sie öffnen die Authenticator-App auf ihrem Smartphone und scannen den QR-Code, der im Browser erscheint. Dadurch wird die App so eingerichtet, dass sie OTP-Codes generiert.
Schritt 3: Anmeldung mit MFA
1. Wenn sich der Benutzer das nächste Mal bei der App anmelden möchte, gibt er sein vom Unternehmen ausgegebenes Anmeldedaten ein und öffnet die Authenticator-App, um ein OTP zu generieren.
2. Sie geben dieses OTP in das System oder die App ein, auf die sie zugreifen möchten.
3. Wenn sie das richtige OTP eingeben, wird ihnen der Zugang gewährt. Andernfalls verweigert das System den Zugang.
OTPs können nur einmal zur Anmeldung verwendet werden (in der Regel 30 Sekunden lang gültig). Jeder Versuch, denselben Code erneut zu verwenden, wird abgelehnt. Die Sicherheit besteht darin, dass es schwieriger ist, zwei Sätze von Anmeldedaten zu stehlen als einen. OTPs können immer noch gestohlen werden, z. B. durch spontane Phishing-Angriffe.
MFA mit Sicherheitsschlüsseln einrichten (FIDO2)
Ein Sicherheitsschlüssel ist ein physisches Gerät, das das FIDO2/WebAuthN-Authentifizierungsprotokoll für die Benutzerauthentifizierung verwendet.
Die FIDO2/WebAuthN MFA-Authentifizierung erfordert von den Benutzern sowohl ein physisches Gerät als auch Informationen, die nur sie kennen (z. B. PIN) oder vererben können (z. B. Fingerabdruck). Sie verwendet Public-Key-Kryptographie mit einem öffentlichen und einem privaten Schlüssel. Der private Schlüssel verlässt den Sicherheitsschlüssel des Benutzers zu keinem Zeitpunkt. Der öffentliche Schlüssel wird an das System/die Anwendung gesendet, auf das/die der Benutzer zugreifen möchte.
So richten Sie MFA mit FIDO2 ein
Schritt 1: Melden Sie sich mit Ihrem Passwort bei dem Dienst an.
Schritt 2: Wählen Sie die Option zur Aktivierung eines Sicherheitsschlüssels (dies muss vom Dienst unterstützt werden)
Schritt 3: Wählen Sie Ihren Sicherheitsschlüssel
Schritt 4: Geben Sie einen zweiten Faktor an, z. B. eine PIN oder ein biometrisches Merkmal. Dieser wird zum Schutz des privaten Schlüssels verwendet
Schritt 5: Der Sicherheitsschlüssel erzeugt ein kryptografisches Schlüsselpaar
Der Sicherheitsschlüssel kann nun ein kryptographisches Schlüsselpaar erzeugen. Der private Schlüssel wird auf dem physischen Sicherheitsschlüssel gespeichert. Der öffentliche Schlüssel wird an den Webdienst gesendet, der ihn in seiner Schlüsseldatenbank registriert und ihn mit dem Benutzerkonto zur Authentifizierung verknüpft.
Schritt 6: Benutzer meldet sich bei einem Dienst an, der FIDO2/WebAuthN unterstützt
1. Der Benutzer gibt seine Konto-ID an.
2. Der Dienst bittet den Benutzer, seine Identität mit seinem Sicherheitsschlüssel zu überprüfen, der auf der Grundlage einer Benutzeraktion, z. B. der Eingabe einer PIN oder eines Fingerabdrucks, entsperrt wird.
3. Der Server prüft die Antwort des Benutzers mit dem entsprechenden öffentlichen Schlüssel. Ist die Überprüfung erfolgreich, kann der Benutzer auf sein Konto zugreifen.
Wie Sie sehen können, bietet FIDO2/WebAuthN eine sicherere Authentifizierung als die passwortbasierte Authentifizierung, insbesondere da ein physischer Sicherheitsschlüssel (Gerät) benötigt wird. Es gibt jedoch keine Möglichkeit, den im Sicherheitsschlüssel gespeicherten Benutzer Anmeldedaten wiederherzustellen, so dass in den meisten Fällen immer noch das Passwort als Ausweichlösung verwendet wird. Dieser Fallback bleibt der anfälligste Vektor in FIDO2/WebAuthN.
Passwortlose MFA wie IDEE AuthN einrichten
Eine passwortlose MFA ist eine MFA, die nicht nur eine passwortlose Erfahrung bietet, sondern das Passwort vollständig eliminiert. Ein Beispiel für eine solche MFA ist die IDEE AuthN™. Es eliminiert Passwörter und Berechtigungsdatenbanken. Dadurch werden alle passwortbezogenen Bedrohungen wie Phishing, Key Logging und Brute-Force-Angriffe beseitigt und die Sicherheit deutlich erhöht. Mit integrierten Funktionen wie der fortgeschrittenen Multi-Party-Autorisierung und dem sicheren Identitätsnachweis vereinfacht es auch die Prüfung und Einhaltung von Vorschriften.
Wie man passwortlose MFA mit IDEE AuthN einrichtet
Schritt 1: Erstellen Sie ein Konto auf dem IDEEs Zero Touch Portal
Schritt 2: Anbindung von Unternehmensanwendungen an AuthN als Identity Provider
Verbinden Sie jede Unternehmensanwendung mit AuthN unter Verwendung bestehender Standards wie SAML OIDC, RADIUS, REST API etc. über .
Schritt 3: Installieren Sie die AuthN-App
Benutzer installieren die IDEE-Authentifikator-App (AuthN)
Schritt 4: Identitätsnachweis über AuthN
Benutzer weisen ihre Identität sicher nach, um die Authentifizierung bei verbundenen Diensten mit starker passwortloser MFA zu ermöglichen
Schritt 5: Benutzer melden sich an
Benutzer melden sich sicher und bequem über AuthN an, um Dienste zu verbinden
Wichtige Überlegungen zur Einrichtung von MFA
Unabhängig von der Art der MFA sind diese Überlegungen unerlässlich, um eine konsistente, ununterbrochene Sicherheit zu gewährleisten:
- Das Gerät muss registriert werden, um das Vertrauen des Stammnetzes zu gewinnen und seine Authentizität und Vertrauenswürdigkeit zu gewährleisten.
- Die Identität des Nutzers muss an das Gerät und die Authentifizierungsanwendung mit explizitem transitivem Vertrauen gebunden sein, um Identitätsdiebstahl zu verhindern
- Die Wiederherstellung des Kontos sollte auf der Client-Seite (Benutzer) eingerichtet werden.
- Es muss eine sichere Identitätsprüfung durchgeführt werden, um sicherzustellen, dass nur der tatsächliche Benutzer auf die wiederhergestellten Daten zugreifen kann.
- Alle Authentifizierungsdaten sollten über einen sicheren authentifizierten Kanal gesendet werden.
- Der Identitätsanbieter sollte nicht in der Lage sein, die Geheimnisse der Benutzerauthentifizierung zu speichern.
- Jedes neue Gerät sollte von einem bestehenden vertrauenswürdigen Benutzergerät aus autorisiert werden
Schlussfolgerung
Die Einrichtung von MFA ist einfach - wenn Sie wissen, wonach Sie suchen. Für eine zuverlässige MFA-Lösung, die die perfekte Mischung aus starker Authentifizierung, zuverlässiger Sicherheit und erschwinglichen Kosten bietet, probieren Sie passwortlose MFA mit IDEE AuthN.
Über den Autor
IDEE's AuthN™ ist ein echt passwortloser, vertrauensfreier Authentifizierungs- und Autorisierungsdienst für moderne Organisationen. AuthN bietet standardmäßig eine Multi-Faktor-Authentifizierung, die passwortlos ist und auf starken Faktoren basiert, die Sicherheit, Benutzerfreundlichkeit und Kosten ausgleichen. Um Passwortlose Authentifizierung und Autorisierung der nächsten Generation zu testen, klicken Sie hier.
