MFA (Multi-Faktor-Authentifizierung) ist ein Thema, welches bei den Benutzer:innen noch nicht sehr beliebt ist. Umso wichtiger ist es daher, User:innen darüber zu informieren bzw. die Awareness zu dafür zu schaffen, wie wichtig diese Erweiterung der Anmeldung geworden ist.
Was ist Multi-Faktor-Authentifizierung
Die Multi-Faktor-Authentifizierung erhöht die Sicherheit deutlich gegenüber herkömmlicher Password-only Authentifizierung. Durch die Kombination mehrerer unabhängiger Faktoren wird die Identität der:des Nutzer:in zweifelsfrei nachgewiesen. Es gibt unterschiedliche Methoden, um einen zweiten Faktor einzusetzen. Zum einen kann man Hardware Token, wie ein USB-Stick oder Smart-Card, verwenden. Zum anderen kann man über das Smartphone die eigene Identität bestätigen, wie zum Beispiel mit dem Fingerabdruck, der Gesichtserkennung oder SMS.
Ein Login ist nur dann möglich, wenn beide Faktoren erfolgreich eingegeben wurden. In den meisten Fällen wird zusätzlich zum Passwort ein Sicherheitscode mit beschränkter Gültigkeit an die:den User:in versendet. Dieser Sicherheitscode kommt dann via E-mail, SMS oder wird in einer App generiert. Diese Methode ist eine stark verbreitete Vorgehensweise und wird bereits von vielen Online-Diensten angeboten.
Bei aktivierter Multi-Faktor-Authentifizierung hat ein:e Angreifer:in, die:der Benutzername und Passwort erlangt hat, trotzdem keine Chance, sich damit anzumelden, da der zweite Faktor fehlt. Daher ist es auch wichtig, dass sich dieser zweite Faktor auch auf einem Gerät befindet, auf welches nur die:der jeweilige User:in Zugriff hat.
Im Online-Banking ist diese Art der Authentifizierung schon vollständig angekommen und kann auch nicht deaktiviert werden. Aber nicht nur die Zugangsdaten des Online-Banking sind schützenswert.
Wie funktioniert die Multi-Faktor-Authentifizierung
Nach Aktivierung der MFA wird die Anmeldung erweitert. Nach Eingabe von Benutzername und Passwort wird ein Sicherheitscode an die:den Benutzer:in gesendet. Dieser Code kann auf unterschiedlichen Wegen an User:innen übermittelt werden. Entweder über SMS, E-Mail oder Authenticator App. Dieser Code ist aus Sicherheitsgründen oft nur wenige Minuten gültig. Erst nach Eingabe des Codes ist die:der Benutzer:in berechtigt, auf die gewünschte Anwendung zuzugreifen.
Vor welchen Bedrohungen schützt die Multi-Faktor-Authentifizierung?
Zugangsdaten können schnell in falsche Hände geraten. Recht häufig wird in den Medien von “Data Breaches” oder Datendiebstal berichtet. Es sind auch Datenbanken von Online-Riesen betroffen, die unzählige Daten von Kund:innen beinhalten und auch veröffentlicht werden. Diese Daten werden im Darknet gehandelt und sind recht kostengünstig zu erwerben.
Daher wird immer häufiger auf Multi-Faktor-Authentifizierung gesetzt, um die Identität zusätzlich bestätigen zu müssen. Die häufigsten Methoden, um an Benutzerdaten zu kommen sind hier aufgelistet:
Phishing
Phishing-Attacken haben es darauf abgesehen, die Anmeldedaten der:des Nutzer:in zu erhalten. Jeder kennt diese Mails, oftmals sehen diese Mails auf den ersten Blick auch sehr glaubwürdig aus. Gibt ein:e Anwender:in dort ihre:seine Zugangsdaten ein, sind diese bereits an die:den Angreifer:in übermittelt.
Malware
Malware wird entweder via E-Mail, USB-Attack oder Downloads auf die Systeme gebracht. Zum Teil sind das “nur” Keylogger (ein kleines Softwareprogramm oder auch ein Hardwaregerät, mit dessen Hilfe sich Tastatureingaben eine:r Anwender:in am Computer überwachen lassen) und senden alle Tastatureingaben an die Betrüger:in. Somit können alle Zugangsdaten ausgespäht werden.
Brute Force
Brut Force ist eine häufige Methode, um “einfache” und “erratbare” Passwörter von Benutzer:innen zu erhalten. Es werden vollautomatisch Login-Versuche auf einen Online-Zugang getestet. Es gibt viele sehr gute Passwort-Listen, die für diese Art von Angriff verwendet werden. Dies ist auch offline möglich. Erlangt ein:e Angreifer:in einen Passwort Hash, kann diese:r versuchen, das Passwort zu knacken. Offline ist dieser Angriff sogar noch viel schneller, als die Daten an einen Webserver zu schicken.
Credential Stuffing
Hierbei wird der häufigste Fehler von Benutzer:innen ausgenützt. Wurde einmal ein Passwort einer Person herausgefunden, wird dieses natürlich auf vielen unterschiedlichen Plattformen getestet. Das ist auch einer der erfolgreichsten Angriffsmethoden, da es für die meisten Menschen viel bequemer ist, wenige Passwörter zu verwenden.