So richten Sie MFA ein: Eine kurze Anleitung

Die Multifaktor-Authentifizierung (MFA) bietet starken, zuverlässigen Schutz vor der sich schnell entwickelnden Cyber-Bedrohungslandschaft. MFA verwendet zwei oder mehr Authentifizierungsfaktoren, um die Identität eines Benutzers zu überprüfen, bevor ihm Zugriff auf ein System oder eine Anwendung gewährt wird.

Aber wie richtet man MFA ein? Lesen Sie weiter, um mehr zu erfahren.

MFA mit Einmalkennwörtern (OTP) einrichten

Im Gegensatz zur Einfaktorauthentifizierung, für die nur ein Passwort erforderlich ist, fragen einige zweistufige MFA-Systeme nach Anmeldeinformationen und einem Authentifizierungscode. Dieser Code ist ein einmaliger Passcode, der von einer Authentifikatoranwendung wie Microsoft Authenticator oder Google Authenticator generiert wird, die auf dem Smartphone des Benutzers installiert ist. Dieser zweistufige Authentifizierungsmechanismus stellt sicher, dass ein böswilliger Akteur, selbst wenn er das Passwort des Benutzers erhält, noch einen zweiten Schritt durchlaufen muss, um in sein Konto einzudringen.

So richten Sie MFA mit OTP ein

‍Schritt 1: Installieren Sie die Authenticator-App

‍Um MFA mit OTP einzurichten, müsste jeder Benutzer eine Authenticator-App auf seinem Gerät installiert haben.

Schritt 2: MFA einrichten

‍1. Der Benutzer navigiert mit einem Computerbrowser zur Einrichtungsseite der App, gibt seine vom Unternehmen ausgestellten Anmeldeinformationen ein und meldet sich an.

2. Sie öffnen die Authenticator-App auf ihrem Smartphone und scannen den QR-Code, der im Browser angezeigt wird. Dadurch wird die App so eingerichtet, dass sie mit der Generierung von OTP-Codes beginnt.

‍Schritt 3: Mit MFA anmelden

‍1. Wenn der Benutzer sich das nächste Mal bei der App anmelden möchte, gibt er seine vom Unternehmen ausgestellten Anmeldeinformationen ein und öffnet die Authenticator-App, um ein OTP zu generieren.

2. Sie geben dieses OTP in das System oder die App ein, auf die sie zugreifen müssen.

3. Wenn sie das richtige OTP eingeben, wird ihnen der Zugriff gewährt. Andernfalls verweigert das System ihnen den Zugriff.

OTPs können nur einmal für die Anmeldung verwendet werden (normalerweise 30 Sekunden gültig). Jeder Versuch, denselben Code erneut zu verwenden, wird abgelehnt. Die Sicherheit besteht darin, dass es schwieriger ist, zwei Sätze von Anmeldeinformationen zu stehlen als einen. OTPs können immer noch gestohlen werden, beispielsweise durch einen spontanen Phishing-Angriff.

MFA mit Sicherheitsschlüsseln einrichten (FIDO2)

Ein Sicherheitsschlüssel ist ein physisches Gerät, das das FIDO2/WebAuthn-Authentifizierungsprotokoll für die Benutzerauthentifizierung verwendet.

Für die FIDO2/WebAuthn MFA-Authentifizierung müssen Benutzer sowohl über ein physisches Gerät als auch über Informationen verfügen, die nur sie kennen würden (wie PIN) oder deren Inhärenz (wie Fingerabdruck). Es verwendet Public-Key-Kryptografie mit sowohl einem öffentlichen als auch einem privaten Schlüssel. Der private Schlüssel verlässt zu keinem Zeitpunkt den Sicherheitsschlüssel des Benutzers. Der öffentliche Schlüssel wird an das System/die Anwendung gesendet, auf die der Benutzer zugreifen würde.

So richten Sie MFA mit FIDO2 ein

‍Schritt 1: Melden Sie sich mit Ihrem Passwort beim Dienst an

Schritt 2: Wählen Sie die Option zum Aktivieren eines Sicherheitsschlüssels (dies muss vom Dienst unterstützt werden)

Schritt 3: Wählen Sie Ihren Sicherheitsschlüssel

Schritt 4: Geben Sie einen zweiten Faktor an, z. B. eine PIN oder eine Biometrie. Dies würde zum Schutz des privaten Schlüssels verwendet werden

Schritt 5: Der Sicherheitsschlüssel generiert ein kryptografisches Schlüsselpaar

Der Sicherheitsschlüssel kann jetzt ein kryptografisches Schlüsselpaar generieren. Der private Schlüssel wird auf dem physischen Sicherheitsschlüssel gespeichert. Der öffentliche Schlüssel wird an den Webservice gesendet, der ihn in seiner Schlüsseldatenbank registriert und ihn zur Authentifizierung mit dem Benutzerkonto verknüpft.

Schritt 6: Der Benutzer meldet sich bei einem Dienst an, der FIDO2/WebAuthn unterstützt

1. Der Benutzer gibt seine Konto-ID an.

2. Der Dienst fordert den Benutzer auf, seine Identität anhand seines Sicherheitsschlüssels zu überprüfen, der aufgrund einer Benutzeraktion, z. B. durch Eingabe einer PIN oder eines Fingerabdrucks, entsperrt wird.

3. Der Server überprüft die Antwort des Benutzers mit dem entsprechenden öffentlichen Schlüssel. Wenn die Überprüfung erfolgreich ist, kann der Benutzer auf sein Konto zugreifen.

Wie Sie sehen, bietet FIDO2/WebAuthn eine sicherere Authentifizierung als eine kennwortbasierte Authentifizierung, insbesondere wenn ein physischer Sicherheitsschlüssel (Gerät) erforderlich ist. Es gibt jedoch keine Möglichkeit, die im Sicherheitsschlüssel gespeicherten Benutzeranmeldeinformationen wiederherzustellen, weshalb in den meisten Fällen das Passwort immer noch als Fallback verwendet wird. Dieser Fallback bleibt der anfälligste Vektor in FIDO2/WebAuthn.

Richten Sie passwortloses MFA wie IDEE AuthN ein

Ein passwortloser MFA ist ein MFA, der nicht nur ein passwortloses Erlebnis bietet, sondern das Passwort vollständig entfernt. Ein Beispiel für eine solche MFA ist die IDEE AuthN™. Es entfernt Passwörter und Datenbanken mit Anmeldeinformationen. Es entfernt somit alle kennwortbezogenen Bedrohungen wie Phishing, Keylogging und Brute-Force-Angriffe und erhöht die Sicherheit erheblich. Mit integrierten Funktionen wie erweiterter Mehrparteienautorisierung und sicherem Identitätsnachweis vereinfacht es auch die Prüfung und Einhaltung von Vorschriften.

So richten Sie passwortloses MFA mit IDE einICH BINUthn

Schritt 1: Erstellen Sie ein Konto auf der Das Zero-Touch-Portal von IDEE

Schritt 2: Unternehmensanwendungen mit AuthN als Identitätsanbieter verbinden

Verbinden Sie jede Unternehmensanwendung mit AuthN mithilfe vorhandener Standards wie SAML, OIDC, RADIUS, REST API usw. über.

Schritt 3: Installieren Sie die AuthN-App

Benutzer installieren die Authentifikator-App (AuthN) von IDEE

Schritt 4: Bestätigen Sie Ihre Identität über AuthN

Benutzer weisen ihre Identität sicher nach, um die Authentifizierung bei verbundenen Diensten mithilfe einer starken kennwortlosen MFA zu ermöglichen

Schritt 5: Benutzer melden sich an

Benutzer melden sich an, um Dienste sicher und bequem über AuthN zu verbinden

Wichtige Überlegungen zur Einrichtung von MFA

- Unabhängig vom MFA-Typ sind diese Überlegungen unerlässlich, um eine konsistente, ununterbrochene Sicherheit zu gewährleisten:

- Das Gerät muss registriert sein, um Vertrauen von Anfang an herzustellen und seine Authentizität und Vertrauenswürdigkeit sicherzustellen

- Die Identität des Benutzers muss mit expliziter transitiver Vertrauensstellung an das Gerät und die Authentifizierungs-App gebunden sein, um Identitätsdiebstahl zu verhindern

- Die Kontowiederherstellung sollte auf der Client- (Benutzer-) Seite eingerichtet werden

- Es muss ein sicherer Identitätsnachweis durchgeführt werden, um sicherzustellen, dass nur der echte Benutzer auf die wiederhergestellten Daten zugreifen kann

- Alle Authentifizierungsdaten sollten über einen sicheren authentifizierten Kanal gesendet werden

- Der Identitätsanbieter sollte keine Geheimnisse der Benutzerauthentifizierung speichern können

- Jedes neue Gerät sollte von einem vorhandenen vertrauenswürdigen Benutzergerät aus autorisiert werden

Fazit

Es ist einfach, MFA einzurichten — wenn Sie wissen, wonach Sie suchen. Eine zuverlässige MFA-Lösung, die die perfekte Mischung aus starker Authentifizierung, zuverlässiger Sicherheit und erschwinglichen Kosten bietet, finden Sie unter passwortloses MFA mit IDEE AuthN.