Fragen Sie einen beliebigen Sicherheitsexperten, was der effektivste Schutz vor Hackern und Betrügern ist, und alle verweisen auf ein Tool: Multifaktor-Authentifizierung (MFA). Es scheint, dass jede Anmeldung heute die Validierung des eigenen Kontos (Anmerkung: nicht der Identität) per SMS, App, E-Mail oder einem anderen Kanal erfordert. Das National Institute of Standards and Technology (NIST) betrachtet MFA als eine der Grundlagen der Sicherheit.
Die Multifaktor-Authentifizierung ist nach wie vor eine der besten Cyber-Abwehrmaßnahmen und stoppt die meisten Angriffe. Aber in letzter Zeit haben sich schlechte Akteure darauf konzentriert, MFA zu hacken und ihre Methoden anfällig für Abhörmaßnahmen zu machen.
Gartner hatte davor gewarnt, dass die Konzentration auf mehrschichtige Authentifizierungsfaktoren angesichts der Tatsache, dass MFA überall im Einsatz ist, weniger effektiv sein und die Erfahrung der Benutzer beeinträchtigen würde.
„Push-Müdigkeit“ durch häufige Authentifizierungsbenachrichtigungen könnte Angriffen ähnlich wie E-Mail-Phishing Tür und Tor öffnen. Bösewichte könnten sich in die Mitte mischen und den MFA-Code eines Benutzers anfordern oder gefälschte Push-Anfragen senden (diese Abfragen fragen: „Melden Sie sich jetzt bei einem anderen Gerät an?“), und Benutzer, die von ständigen Benachrichtigungen überwältigt sind, könnten leicht automatisch antworten und Hackern den Rücken kehren Zugang.
Diese Kombination aus Social Engineering und Push-Müdigkeit war der Kern einiger neuerer Sicherheitsverletzungen. Uber wurde im September trotz Zwei-Faktor-Authentifizierung gehackt. Der Hacker erlangte Zugriff, indem er die Anmeldeinformationen eines Benutzers erhielt und dann wiederholte Authentifizierungsanforderungen sendete, bis der Benutzer eine genehmigte. Dann konnte sich der Hacker im Netzwerk bewegen und den Slack-Kanal von Uber nutzen, um seinen Angriff anzukündigen.
Warum MFA defekt ist
Die Verletzung von Uber zeigt, wie Kriminelle MFA umgehen können und warum sich die Methodik weiterentwickeln muss. Ein einmaliger Code, der in E-Mails, Textnachrichten oder sogar in einer Authentifizierungs-App herumfliegt, kann erzwungen oder abgefangen werden, was die Wurzel des Problems ist. Da MFA von fast jeder Website und App verwendet wird, bietet die Menge der Authentifizierungsnachrichten Hackern Deckung.
Es gibt vier grundlegende Arten von MFA:
- One-Time-Password (OTP), eine PIN, die per SMS oder E-Mail versendet wird
- OTP-Apps
- Push-basierte Apps
- Biometrie
Die am häufigsten verwendeten SMS-Codes für die Authentifizierung von Verbrauchern und Mitarbeitern sind ziemlich phishbar. Authentifizierungs-Apps sind ein Schritt in die richtige Richtung, aber sie können auch von Hackern ausgespäht werden.
Push-Benachrichtigungen und biometrische Identifizierung legen die Messlatte etwas höher, aber wie die Verletzung von Uber gezeigt hat, sind Push-Benachrichtigungen nicht narrensicher.
Einige dieser Methoden nennen wir HBA oder Hope-Based Authentication, die Validierungsfaktoren erfordern, die jeder in einen Computer eingeben kann – Sie hoffen einfach, dass es die richtige Person ist. Mit MFA haben Netzwerke ein gewisses Sicherheitsniveau, wissen aber nicht, wer hinter dieser Autorisierung steht.
Es gibt einen sehr einfachen Lackmustest: Können Sie jemand anderem Ihren Authentifizierungsfaktor geben, damit er ihn ohne Sie verwendet? Wenn die Antwort ja ist, benötigen Sie eine vertrauenswürdige Identität. So einfach ist das.
ID-basierte Authentifizierung
Identitätsbasierte Authentifizierung, bei der Sie jemandem sozusagen ins Gesicht sehen können und wissen, dass der Benutzer, der sich authentifiziert, der Benutzer ist, der dort sein soll, kann helfen, diese kaputte MFA-Umgebung zu reparieren.
Bei der identitätsbasierten Authentifizierung wird ein Benutzer sicher mit Faktoren verifiziert, die schwer zu fälschen sind, wie z. B. einem amtlichen Lichtbildausweis, biometrischen Markern oder anderen nicht hackbaren Elementen, wodurch eine digitale Identität erstellt wird, die jedes Mal vorgelegt werden kann, wenn eine Authentifizierung erforderlich ist.
Mehrere Standards sind vorhanden, um diese Identitätsprüfung zu regeln, wie z. B. die NIST-Veröffentlichung 800-63 der Bundesregierung, die Richtlinien für die Identitätsprüfung von Mitarbeitern und Benutzern enthält, die sich bei einem Identitätszugriffsverwaltungsdienst (IAM) anmelden, und Administratoren Optionen zum Abgleich der Benutzer gibt Risikoprofil und Zugangsvoraussetzungen.
Jetzt, da die Bösewichte begonnen haben, Authentifizierungsfaktoren in die Hände zu bekommen, ist es an der Zeit, die Praxis zu intensivieren und die Identitätsprüfung auf viele Assets anzuwenden, die CISOs möglicherweise nicht in Betracht gezogen haben.
Organisationen wie die Kantara Initiative und die FIDO Alliance haben sich verstärkt, um die Konformität von Identitätssystemen und Anbietern von Anmeldeinformationen mit den NIST-Standards zu bewerten, Kantara durch die Zertifizierung der Sicherheitsstufen für eine Identität und FIDO durch das Angebot eines Rahmens für die Verwendung von Public-Key-Kryptografie und ein biometrischer Faktor.
Die Präsenz dieser Zertifizierungsstellen kann CISOs zum Handeln bewegen und die Identitätsauthentifizierung vorantreiben.
So beheben Sie MFA
In einem NIST 800-63-Prozess werden zwei starke Formen der Identifikation mit einer realen Identität verknüpft. Die Identität bleibt beim Benutzer und kann nur von diesem genutzt werden, unabhängig davon, auf welches System der Benutzer zuzugreifen versucht.
Ein privater Schlüssel arbeitet hinter den Kulissen, um den Zugang zu kontrollieren, verbunden mit einem biometrischen Marker, der aus Sicherheitsgründen verschlüsselt ist. Die biometrische Authentifizierung ist eine wichtige Methode, um eine Identität mit einem Benutzer mit einem Authentifikator zu verknüpfen. Sie können Ihr Gesicht nicht jemand anderem zeigen, und es gibt viele Möglichkeiten, schlechte Schauspieler daran zu hindern, ein Bild zu verwenden, um Gesichtserkennungstools auszutricksen.
Sobald dieser Identitätsnachweis erfolgt ist, sind einige starke Authentifizierungsfaktoren damit verbunden, wie z. B. ein von der ausstellenden Abteilung für Kraftfahrzeuge validierter Führerschein oder ein Reisepass. Dieser Vorgang erfolgt in Sekundenschnelle dank maschineller Lernalgorithmen, die das Gesicht einer Person mit dem auf dem Führerschein abgleichen.
In wenigen Minuten haben Sie eine starke Identität, die nur Sie kontrollieren und die an Administratoren übermittelt werden kann, sei es zur Eröffnung eines Bankkontos oder zur Einstellung eines neuen Mitarbeiters. Vergleichen Sie das damit, dass die Personalabteilung Dutzende von Feldern eintippt oder darauf vertraut, dass die Dokumente der richtigen Person gehören, und es ist ein ganz neues Ballspiel.
Hacker nutzen die Reibung, die ständigen Anfragen und Überprüfungen zum Zurücksetzen von Passwörtern. Eine Möglichkeit, diesen Angriffsvektor zu schließen, besteht darin, Passwörter vollständig zu eliminieren und MFA und identitätsbasierte Authentifizierung zu mischen. Die passwortlose Authentifizierung wird von fast jedem Unternehmen im Identitätsbereich diskutiert, da sie den Faktor Wissen entfernt, der gestohlen werden kann.
Passkey gleicht Benutzerfreundlichkeit und Sicherheit aus
Eine der Herausforderungen bei den FIDO-Richtlinien war die Verwendung von Geräten wie Mobiltelefonen als Authentifikatoren, bei denen die Benutzer einen Schlüssel dort oder auf einem Computer aufbewahren. Wenn dieses Gerät verloren ging, gab es keine zuverlässige Möglichkeit, diesen Schlüssel zu sichern. Die Industrie hat jetzt eine Antwort, den FIDO-Passkey, der die passwortlose Authentifizierung in der Verbraucherwelt viel benutzerfreundlicher macht.
Tools wie Passkey schaffen ein Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit. Passkey kann einen privaten Schlüssel in einem sicheren Cloud-Speicher – zum Beispiel Apple Keychain – sichern. Wenn also das Telefon oder der Computer verloren geht, muss ein Wiederherstellungsprozess durchlaufen werden, in diesem Fall über Apple Wallet, das gut gesichert ist . Eine weitere Funktion, der öffentliche Geräteschlüssel, lässt nur ein Gerät die Identität authentifizieren, andere nicht.
FIDO-Standards werden auch in die kontinuierliche Authentifizierung integriert, ein Trend im Identitätsmanagement, auf den sich Gartner in letzter Zeit konzentriert hat. Es ist die Fähigkeit, ständig zu wissen, dass sich die Person immer noch am anderen Ende der digitalen Verbindung befindet.
Wenn Sie den Benutzer jedoch alle fünf Sekunden fragen: „Bist du da? Scannen Sie Ihr Gesicht“, werden sie wahrscheinlich ihr Telefon aus der Tür werfen und woanders arbeiten gehen. Es ist ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit. Dennoch wird es immer einfacher, mit den Benutzern in Kontakt zu treten, dank einer Technologie, die sich so schnell authentifizieren kann wie eine Computer- oder Telefonkamera.
Fazit
Die Tausend-Meilen-Reise beginnt mit dem ersten Schritt. Eine Empfehlung für Unternehmen, die an diesem Sicherheitsniveau interessiert sind, besteht darin, zwei der am häufigsten verwendeten Systeme auszuwählen – Ihre SSO-Systeme wie Okta, Ping, Foregrock oder Azure AD und Ihr Betriebssystem (Windows/MAC) – und die Passwörter loszuwerden dort.
Sie werden viel aus diesen Bemühungen lernen, und die aus diesem Teil der Bereitstellung gewonnenen Erkenntnisse werden ihnen helfen, die anderen acht oder neun Bereiche zu ermitteln, auf die sie sich als Nächstes konzentrieren müssen, und wie sie angegangen werden können. Darüber hinaus können Sie durch die Bewältigung dieser beiden Zielsysteme über 50 % Ihrer Passwörter loswerden und nebenbei erhebliche Kosteneinsparungen durch weniger Helpdesk-Anrufe und eine Steigerung der Benutzerproduktivität erzielen.
Bild & Quelle: TechNewsWorld
