Multi-Faktor-Authentifizierung per SMS nicht mehr sicher – SMS abschalten oder direkt Passwordless Authentication nutzen?
Dass Multi-Faktor-Authentifizierung eine, wenn nicht sogar die wichtigste Sicherheits-Vorkehrung ist, ist bereits bekannt. Viele Unternehmen setzen MFA auch bereits erfolgreich ein. Jedoch gibt es auch hier Tücken – SMS gilt mittlerweile nicht mehr als sichere MFA-Variante. Warum? Das erfahren Sie im heutigen Blogpost!
Was bedeutet Multi Faktor Authentifizierung?
Multi-Faktor-Authentifizierung bindet einen weiteren Faktor in den Authentifizierungsprozess mit ein, was eine zusätzliche Barriere bei Angriffen schafft. Hierzu wird immer noch am häufigsten die MFA per SMS-Token genutzt – ein mittlerweile unsicheres Verfahren.
Zwei-Faktor-Authentifizierung mit SMS-Token
Die bekannteste Art der Zwei-Faktor-Authentifizierung läuft per SMS-Token. Dabei wird bei jeder Anmeldung zufällig ein Code generiert, welcher anschließend an die hinterlegte Mobilnummer versendet wird. Mittlerweile gilt diese Methode jedoch als nicht mehr sicher: SMS werden unverschlüsselt übertragen und können somit jederzeit abgefangen werden, über z.B. ein Switching Device oder auch wenn man sich in Radiorange des Devices befindet. Darüber hinaus kann auch ein geklautes Smartphone zum Risiko werden, sofern Nachrichten auch im gesperrten Zustand angezeigt werden. Auch kann die Telefonnummer des Opfers auf eine neue SIM-Karte portiert werden umso sämtliche Nachrichten mitzulesen. Auch weiterführende Attacken wie Swap-Angriffe oder das Wiederverwenden des SIM-Token („Replay-Attacke“) stellen hier ein erhebliches Risiko dar.
Welche Alternativen zu SMS gibt es?
Microsoft bietet mittlerweile einige starke Möglichkeiten an, um MFA auch ohne SMS anbieten zu können. Der einfachste Weg ist so z.B. die Microsoft Authenticator App, mit dieser können die MFA Anfragen bestätigt werden, während der Enduser zeitgleich auch über Zeitpunkt und Standort des Anmelders informiert wird.
Auch für User, die kein eigenes Firmensmartphone besitzen, oder die Authenticator App nicht auf Ihrem privaten Smartphone installieren möchten, gibt es Möglichkeiten. So besteht die Möglichkeit klassische OTP-Tokens (welche alle x Sekunden einen neuen Code generieren) oder noch besser, direkt einen FIDO-Stick wie z.B. Ubikeys an die User auszugeben. FIDO-Sticks sind USB-Stick ähnliche Devices, welche direkt per USB-Slot an das Device des Users angeschlossen werden. Nach der Eingabe des Passworts/PINs wird der User aufgefordert, ein kleines Touchfeld auf dem Stick zu drücken, um so die Anfrage zu genehmigen. Bei höherklassigen Modellen sind diese sogar mit einem Fingerabdrucksensor ausgestattet. Ein weiterer Vorteil wäre ebenfalls das FIDO-Sticks Phishingresistent sind. Nachdem es sich um ein physikalisches Device handelt, können diese nicht abgefangen oder abgeleitet werden.
Passwordless Authentication sich zu eigen machen
Mithilfe von Windows Hello/Windows Hello for Business können Sie Passwörter obsolet machen. Passwordless Authentication heißt nicht, dass Ihre Accounts keine Passwörter mehr besitzen, sondern lediglich Ihre User diese Passwörter nicht mehr nutzen müssen – mithilfe von Windows Hello bzw. Windows Hello for Business lösen der eigene Fingerabdruck oder das eigene Gesicht und die Microsoft Authenticator App oder FIDO Sticks das Passwort ab. Das hat zum Vorteil, dass Passwörter so komplex sein können, um die größtmögliche Sicherheit liefern zu können, ohne den Mitarbeitern das Merken genau dieser aufzuzwingen.
Wie geht es jetzt weiter?
Egal ob Sie lediglich SMS abschalten möchten, oder direkt auf Passwordless Authentication umstellen möchten. Wichtig ist jetzt zu handeln um auch weiterhin sicher zu sein!
Drucken