​Es führt kein Weg daran vorbei: Das Passwort, wie wir es kennen, ist tot. Die Informationen, die wir online aufbewahren, sind zu wichtig, um sie nur mit einer einzigen Zeichenkette zu schützen. Unsere Sicherheitsmethoden müssen sich weiterentwickeln.

Wir haben gesehen, wie diese Entwicklung so in den letzten zehn Jahren begonnen hat. Benutzer und Systemadministratoren sind nach und nach über Kennwörter hinausgegangen und haben komplexe, dynamische Sicherheitsansätze wie Zero-Trust-Architekturen implementiert. Früher brauchte man für den Zugang nur ein Passwort. Jetzt können Administratoren und Benutzer eine Kombination aus Tools und Richtlinien verwenden, die eine nahtlose Authentifizierung ermöglichen und gleichzeitig Schutz vor den häufigsten Arten von Angriffen bieten.

Im Wesentlichen hat sich die Websicherheit vom Ansatz von Captain America – mit einem Schutzschild zur Selbstverteidigung: einem Passwort – zum Batman-Ansatz entwickelt, bei dem ein Werkzeuggürtel Optionen für eine Vielzahl von Situationen enthält.

Eine der wichtigsten Ressourcen in diesem Utility Belt ist die Zwei-Faktor-Authentifizierung (2FA). Es ist eine kostengünstige Maßnahme, die vor wichtigen Bedrohungsvektoren schützt (und relativ einfach einzuführen ist). Lassen Sie uns in 2FA eintauchen: warum es wichtig ist, wie es funktioniert und wie Sie anfangen können.

Warum 2FA ein wesentlicher Bestandteil der Websicherheit ist

Zwei-Faktor-Authentifizierung bedeutet, dass jede Anwendung oder jeder Dienst, bei dem Sie sich anmelden, doppelt überprüft, ob die Anfrage wirklich von Ihnen kommt, indem die Anmeldung mit Ihnen über einen separaten Ort bestätigt wird.

Sie haben 2FA wahrscheinlich schon einmal verwendet, auch wenn Sie sich dessen nicht bewusst waren. Wenn eine Website beispielsweise jemals einen Zahlencode an Ihr Telefon gesendet hat, den Sie eingeben müssen, um Zugriff zu erhalten, haben Sie eine Multi-Faktor-Transaktion abgeschlossen.

2FA ist für die Websicherheit unerlässlich, da es die mit kompromittierten Passwörtern verbundenen Risiken sofort neutralisiert. Wenn ein Passwort gehackt, erraten oder sogar gephishing wird, reicht das nicht mehr aus, um einem Eindringling Zugang zu verschaffen: Ohne Zustimmung des zweiten Faktors ist ein Passwort allein nutzlos.

2FA tut auch etwas, das für die Aufrechterhaltung einer starken Sicherheitslage entscheidend ist: Es bindet Benutzer aktiv in den Prozess der Sicherheit ein und schafft eine Umgebung, in der Benutzer sachkundige Teilnehmer an ihrer eigenen digitalen Sicherheit sind. Wenn ein Benutzer eine 2FA-Benachrichtigung erhält, muss er die Frage beantworten: „Habe ich das initiiert oder versucht jemand, auf mein Konto zuzugreifen ?“ Dies unterstreicht die Bedeutung der Sicherheit bei jeder Transaktion. Während die meisten anderen Websicherheitsmethoden passiv sind und Endbenutzer nicht als Mitarbeiter einbeziehen, schafft 2FA eine Partnerschaft zwischen Benutzern und Administratoren.

Wie funktioniert 2FA

Unterschiedliche 2FA-Methoden verwenden unterschiedliche Prozesse, aber alle beruhen auf demselben zugrunde liegenden Arbeitsablauf.

Typischerweise läuft eine 2FA-Transaktion wie folgt ab:

1. Der Benutzer meldet sich mit seinem Benutzernamen und Passwort bei der Website oder dem Dienst an.
2. Das Passwort wird von einem Authentifizierungsserver validiert, und wenn es korrekt ist, wird der Benutzer für den zweiten Faktor berechtigt.
3. Der Authentifizierungsserver sendet einen eindeutigen Code an das Second-Factor-Gerät des Benutzers.
4. Der Benutzer bestätigt seine Identität, indem er die zusätzliche Authentifizierung von seinem Second-Factor-Gerät genehmigt.

Während die grundlegenden Prozesse hinter der Multi-Faktor-Authentifizierung bei allen Anbietern im Allgemeinen gleich sind , gibt es viele verschiedene Möglichkeiten, sie zu implementieren, und nicht alle Methoden sind gleich. Lassen Sie uns in die verschiedenen Arten von 2FA eintauchen.

Arten von 2FA

Im Allgemeinen verlassen sich Mehrfaktor-Authentifizierungssysteme auf mindestens einen der folgenden Ansätze.

• Authentifizierungs-Apps. Authenticator-Apps sind genau das, wonach sie klingen: Smartphone-Apps, die den Second-Factor-Genehmigungsprozess als Standardbenachrichtigungen abwickeln. Authentifizierungs-Apps wie Duo Mobile verwenden die Internetverbindung, um Anmeldegenehmigungsanfragen zu übermitteln, was sicherer ist als die Verwendung von Telefonleitungen.

• U2F-Geräte. Universal Second-Factor (U2F)-Geräte ähneln Token: Sie sind kleine physische Geräte, die ausschließlich zur Überprüfung von Anmeldungen verwendet werden. Anstatt wie ein Token an einem Schlüsselbund befestigt zu werden, sind U2F-Geräte jedoch so konzipiert, dass sie in einen offenen USB-Steckplatz passen. (Ältere Modelle verwenden USB-A-Anschlüsse, neuere Versionen passen in USB-C-Steckplätze.) Wenn ein Benutzer sein Passwort auf einem Computer mit angeschlossenem U2F-Gerät eingibt, wird er aufgefordert, auf das physische U2F-Gerät zu tippen, um Zugriff zu erhalten. U2F-Geräte sind beliebt, weil sie so einfach zu bedienen sind – ein einfaches Antippen und fertig – aber eines zu verwenden bedeutet, einen verfügbaren USB-Anschluss aufzugeben, was nicht immer eine Option für alle Benutzer ist.

• Passwörter. Passcodes sind die häufigste Form von 2FA und bestehen normalerweise aus einer kurzen Zahlenfolge, die an ein Smartphone gesendet wird. Passcodes zählen definitiv als 2FA. Da sie jedoch auf Telefonleitungen angewiesen sind – die kompromittiert werden können – stellen sie die am wenigsten sichere Methode dar. Passcodes sind bei den Benutzern ebenfalls kein Hit: Jeder Code muss manuell eingegeben werden, was lästig sein kann.

• Token. Viele Websicherheitsteams entscheiden sich dafür, ihre Benutzer mit Token auszustatten. Dies sind in der Regel kleine Schlüsselanhänger, die Codes generieren, die Benutzer als zweiten Faktor eingeben können. Token sind sicherer als per Mobilfunk übermittelte Passcodes, da sie nicht auf Telefonleitungen angewiesen sind, aber sie beseitigen nicht die lästige Eingabe von Codes. (Tatsächlich können sie das noch verschlimmern, da Sie keinen Code von einem Token kopieren und einfügen können.) Token sind attraktiv, weil sie erschwinglich sind und Systemadministratoren keine Telefonnummern sammeln müssen – aber sie sind batteriebetrieben. betrieben, und die Batterien sind leer. Die Verwendung von Token bedeutet, sich mit den Kopfschmerzen des Timing-Ersatzes auseinanderzusetzen, um zu vermeiden, dass Benutzer den Zugriff auf wichtige Systeme verlieren.

• Telefonische Rückrufe. Telefonrückrufe sind eine der weniger beliebten Versionen von 2FA, aber sie sind eine effektive – wenn auch zeitaufwändige – Möglichkeit, einen zweiten Faktor zu implementieren. Bei einer Telefon-Callback-Einrichtung erhält ein Benutzer, sobald er sich anmeldet, einen automatisierten Telefonanruf, der ihn auffordert, die Zugriffsanfrage zu genehmigen oder abzulehnen.

• TOTP. Zeitbasierte Einmal-Passcodes, besser bekannt als TOTP, ähneln Passcodes. Anstatt dass ein Dienst dem Benutzer eine Reihe von Zahlen sendet, generiert eine App jedoch einen einmaligen Passcode, der schnell abläuft. Auf diese Weise können Benutzer weiterhin ihre Authentifizierungs-App verwenden (die bei Bedarf TOTPs generiert) und es werden keine unsicheren Telefonleitungen involviert.

Denken Sie daran, dass sich Systemadministratoren in den meisten Fällen für eine Vielzahl von Ansätzen entscheiden und Benutzern normalerweise einige Optionen zur Verfügung stellen, um den jeweiligen Anforderungen am besten gerecht zu werden. Wenn also beispielsweise an Ihrem Arbeits-Laptop ein U2F-Gerät angeschlossen ist, können Sie dies den ganzen Tag über als zweiten Faktor verwenden. Wenn Sie sich außerhalb der Geschäftszeiten von Ihrem Smartphone aus bei einer Anwendung anmelden, müssen Sie jedoch möglicherweise eine Authentifizierungs-App verwenden. Und obwohl diese Art von Flexibilität keine große Sache zu sein scheint, werden Ihre Benutzer es definitiv zu schätzen wissen, was sie zu stärkeren Verbündeten Ihrer Sicherheitsbemühungen macht.

Erste Schritte mit 2FA

Da 2FA ein Cloud-basierter Dienst ist, ist er relativ einfach zu implementieren und kann schrittweise in Ihrem Unternehmen eingeführt werden. Der grundlegende Prozess für den Einstieg sieht folgendermaßen aus:

1. Bestimmen Sie, welchen 2FA-Dienst Sie verwenden werden. Nutzen Sie unseren Zwei-Faktoren-Bewertungsleitfaden , um sich einen Überblick über all die Dinge zu verschaffen, die Sie von einem Web-Sicherheitsprodukt mit 2FA erhalten können (und sollten). Denken Sie daran: 2FA sollte nicht Ihr einziger Sicherheitsansatz sein. Eine starke Sicherheitsplattform erleichtert sowohl die Einrichtung eines Multi-Faktor-Zugriffs mit Ihren wichtigsten Apps als auch andere Verteidigungsmöglichkeiten wie anpassbare Zugriffsrichtlinien. Wenn Sie Ambitionen haben, eines Tages zu einem Zero-Trust-Modell überzugehen, ist ein koordinierter Ansatz, der 2FA beinhaltet, aber nicht darauf beschränkt ist, unerlässlich. Wir haben Duo Beyond entwickelt, um diese Anforderungen zu erfüllen, und Sie können hier mehr darüber erfahren .
2. Führen Sie mit einer kleinen Gruppe von Benutzern in einer Low-Stakes-Umgebung einen Proof of Concept durch. Bevor Sie 2FA in Ihrer gesamten Organisation einführen, testen Sie es zuerst und beheben Sie alle von Ihnen identifizierten Probleme. Holen Sie sich eine kleine Gruppe von Benutzern, die über den Prozess kommunikativ sind, und arbeiten Sie im Voraus mit ihnen zusammen, um zu verstehen, wie es für sie funktionieren wird.
3. Aktivieren Sie 2FA mithilfe von Integrationen für jeden Dienst oder jede Anwendung, die Sie schützen. Um eine bestimmte Anwendung oder einen bestimmten Dienst für die Arbeit mit 2FA einzurichten, benötigen Sie eine Integration – ein Mittel, um die Anwendung oder den Dienst dazu zu bringen, mit 2FA zu arbeiten. Beispielsweise enthält Duo Beyond Integrationen für alles, von größeren Systemen wie Salesforce CRM bis hin zu kleineren Anwendungen wie Slack. (Wir haben auch eine webbasierte Integration, die so angepasst werden kann, dass sie mit jeder Anwendung funktioniert, für die es keine spezifische Integration gibt.) Wie auch immer Sie sich entscheiden, voranzukommen, stellen Sie sicher, dass Sie einen Plan für die Integration jedes Ihrer kritischen Elemente haben Systeme mit Ihrem 2FA-Service.

Fazit

In der Post-Password-Welt beruht eine starke Web-Sicherheit auf einem dynamischen Ansatz, der aus einer Vielzahl von Tools und Richtlinien aufgebaut ist. Es ist wichtig, sich für einen umfassenden Schutz niemals auf eine einzelne Methode zu verlassen. Das bedeutet zwei Dinge: (1) Wenn Sie sich derzeit nur auf Passwörter verlassen, ist es an der Zeit, sich weiterzuentwickeln, und die Verwendung von 2FA ist ein solider erster Schritt; und (2) 2FA ist ein wesentliches Sicherheitstool, aber es wird noch effektiver, wenn es als Teil einer koordinierten Strategie von Sicherheitsanwendungen und -richtlinien verwendet wird.

Quelle: unser Partner