Bei der Multi-Faktor-Authentifizierung (MFA), auch Zwei-Faktor-Authentifizierung genannt, handelt es sich um eine Sicherheitstechnologie, bei der ein Nutzer eine Kombination aus zwei oder mehr Anmeldeinformationen oder Faktoren angeben muss, um seine Identität für die Anmeldung zu überprüfen. Zu den Faktoren muss etwas gehören, das der Nutzer kennt, wie z. B. eine PIN, ein Passwort oder eine Antwort auf eine Sicherheitsfrage; etwas, das der Nutzer ist, dies kann etwa durch einen Fingerabdruck- oder Gesichtserkennungsscan geprüft werden; und etwas, das der Nutzer hat, beispielsweise ein Digitalschlüssel, eine Smartcard, ein Einmalpasswort oder eine Push-Benachrichtigung an ein Smartphone.
MFA-Services verstärken die Sicherheit
Von Ransomware über Advanced Persistent Threats bis hin zu Malware und Spear-Phishing-Angriffen – verheerende Cyberangriffe plagen Unternehmen jeder Größe beim Versuch, geschäftskritische Daten und Systeme zu schützen. Die Bemühungen werden durch einen ständigen Mangel an Sicherheitsfachkräften sowie neue Herausforderungen im Zusammenhang mit der Sicherheit bei BYOD und Remotearbeit erschwert.
Da viele dieser Sicherheitsverletzungen auf gestohlenen Anmeldedaten basieren, setzen kluge Unternehmen auf MFA-Services (Multi-Faktor-Authentifizierung), um eine zusätzliche Sicherheitsebene zu schaffen. MFA-Lösungen nutzen ein Zwei-Faktor-Authentifizierungsprotokoll. Dabei müssen sich Nutzer mit zusätzlichen Informationen wie Einmalpasswörtern (One-Time Password, OTP), Push-Benachrichtigungen, Fingerabdruck oder Spracherkennung authentifizieren, um sicheren Zugriff auf Anwendungen oder Services zu erhalten.
Obwohl MFA-Services eine deutliche Verbesserung gegenüber Anmeldeprotokollen darstellen, die lediglich Nutzernamen und Passwörter erfordern, bietet die herkömmliche MFA keine hundertprozentige Sicherheit. MFA-Services, die den FIDO2-Standard nutzen, sind zwar widerstandsfähiger gegenüber Hackerangriffen, aber auch komplexer in der Nutzung und Verwaltung. Aus diesem Grund bietet Akamai MFA-Services an, die für ein hohes Maß an Sicherheit und ein reibungsloses Nutzererlebnis sorgen.
Risikostufen für Authentifizierungsmodelle
80 % der Datenschutzverletzungen durch Hacking gehen mit gestohlenen Anmeldedaten oder schlechtem Passwortmanagement einher. Somit ist eine überlegene Authentifizierungstechnologie für die Unternehmenssicherheit unerlässlich. Die Standardmethoden zur Authentifizierung unterscheiden sich deutlich im Hinblick auf die Risiken und es ist wichtig, diese Unterschiede zu verstehen, bevor Sie in Authentifizierungslösungen investieren.
Hohes Risiko: Authentifizierung durch Nutzername und Passwort
Unternehmen, die sich bei der Verifizierung der Nutzeridentität ausschließlich auf eine einfache Authentifizierung aus Nutzername und Passwort verlassen, sind höchst anfällig für Angriffe. Anmeldedaten können leicht gestohlen, erraten oder gesammelt werden. Cyberkriminelle können diese Sicherheitsstufe ganz einfach umgehen und direkten Zugriff erlangen, wenn sie über Anmeldedaten von Mitarbeitern verfügen, oder sich über Credential-Stuffing-Angriffe Zugriff verschaffen, wenn sie die Nutzernamen kennen. Das Problem wird noch vergrößert, indem viele Mitarbeiter dieselben Passwörter für ihre persönlichen Konten verwenden. Wenn diese persönlichen Anmeldedaten kompromittiert werden, nutzen Angreifer die gestohlenen Passwörter, um Unternehmenskonten anzugreifen.
Mittleres bis hohes Risiko: standardmäßige MFA-Services
Die MFA-Funktion verbessert die Unternehmenssicherheit, da eine zweite Authentifizierungsebene zur Nutzerverifizierung erforderlich ist. Der zweite Faktor kann etwas sein, das der Nutzer kennt, z. B. eine PIN, etwas, das er besitzt, z. B. ein Gerät oder ein Einmalpasswort, oder etwas, das ihn ausmacht. Bei diesem letzten Faktor können biometrische Daten wie Gesichtserkennung oder Fingerabdruck genutzt werden. Während die MFA-Technologie das Risiko von Datenmissbrauch zwar deutlich verringert, können Hacker durch Phishing, Social Engineering, transparente Proxys, SIM-Swapping und andere Techniken dennoch erfolgreich Zugriff auf Systeme erlangen.
Geringes Risiko: FIDO2-basierte MFA-Services
Die derzeit sicherste und effektivste standardbasierte Authentifizierungsmethode stellen FIDO2-basierte MFA-Services dar. Diese Technologie nutzt kryptografische Anmeldeinformationen zur Nutzerauthentifizierung und ist der Weg hin zu einer Authentifizierung, die komplett ohne Passwort funktioniert. Durch den Schutz der Anmeldedaten vor Phishing- oder Social-Engineering-Angriffen schließen FIDO2-basierte Lösungen die Sicherheitslücken herkömmlicher MFA-Services.
Der Nachteil der FIDO2-basierten MFA-Technologie besteht darin, dass für jeden Nutzer physische FIDO2-Sicherheitsschlüssel erforderlich sind, was den Authentifizierungsprozess deutlich kostspieliger und komplexer macht. Aus diesem Grund hat Akamai eine MFA-Lösung der nächsten Generation entwickelt, die Kosten und Komplexität reduziert und gleichzeitig Risiken minimiert.
MFA-Services von Akamai
Akamai MFA ist eine MFA-Lösung für Mitarbeiter, die eine starke sekundäre Authentifizierung für Cloud-, Web-, lokale, SaaS- und IaaS-Anwendungen bereitstellt. Akamai vereinfacht den FIDO2-Authentifizierungsprozess, indem physische Hardware-Token durch Push-Benachrichtigungen auf einer Smartphone-App ersetzt werden. End-to-End-Verschlüsselung und ein abgeschirmter Frage/Antwort-Ablauf bieten ein höchstes Maß an Sicherheit, wodurch der Authentifizierungsprozess resistent gegenüber Phishing- und Social-Engineering-Angriffen wird.
Die MFA-Services ermöglichen:
- eine schnelle Implementierung einer erstklassigen MFA-Lösung. Nutzer können die Akamai MFA-App auf vorhandene Smartphones herunterladen, wodurch Verzögerungen bei der Verteilung physischer Sicherheitsschlüssel oder kompatibler Hardware vermieden werden.
- ein reibungsloses Nutzererlebnis durch die Verwendung des eigenen Smartphones und geläufige Push-Benachrichtigungen.
- eine Minimierung des Angriffsrisikos durch die Implementierung einer FIDO2-basierten Lösung, die die Auswirkungen von Phishing- und Social-Engineering-Angriffen eliminiert.
- eine Senkung der Gesamtbetriebskosten, da keine zusätzliche Hardware erworben, ersetzt oder gewartet werden muss.
- den Aufbau eines Zero-Trust-Netzwerks durch die Implementierung der stärksten verfügbaren Authentifizierungs- und Autorisierungs-Protokolle.
- zukunftssichere Investitionen in MFA-Services mit einer FIDO2-basierten MFA-Cloudlösung, die zukünftige Anwendungsfälle unterstützt.
MFA-Services von Akamai
Akamai MFA arbeitet mit primären Identity Providern (IdP) wie Microsoft Azure AD oder Okta zusammen, um eine höhere Authentifizierungssicherheit zu gewährleisten. Wenn ein Nutzer bei der Anmeldung den korrekten Nutzernamen und das korrekte Passwort eingegeben hat, stellt der IdP eine Verbindung zu Akamai MFA her, damit die Generierung des zweiten Faktors angefordert wird. Akamai MFA erstellt eine Seite, auf der Nutzer einen zweiten Faktor auswählen können, und sendet dann eine Sicherheitsfrage – z. B. eine Phishing-sichere Push-Benachrichtigung – an eine App auf dem Smartphone des Nutzers. Wenn der Nutzer die Anfrage bestätigt, gibt Akamai MFA die Kontrolle zurück an den IdP. Dieser ermöglicht dem Nutzer dann den Zugriff auf die angeforderten Anwendungen oder Services.
Weitere Funktionen von Akamai MFA:
- konfigurierbare Optionen, mit denen Unternehmen Authentifizierungsfaktoren für bestimmte Anwendungsfälle auswählen können, darunter Phishing-sichere Push-Benachrichtigungen, Standard-Push-Benachrichtigungen, zeitlich begrenzte Einmalpasswörter (Time-based One Time Password, TOTP) und Kurznachrichtendienste (SMS)
- automatisierte User-Provisioning-Workflows, die Administratoren mit SCIM (System for Cross-Domain Identity Management) über Authentifizierungsereignisse informieren
- Self-Service-Nutzeranmeldung mit verschiedenen reibungslosen Methoden, die die Anmeldung und Geräteregistrierung vereinfachen und den Aufwand für Administratoren verringern
- Integration in IdP-Lösungen wie Microsoft Azure, Okta und Akamai IdP
Häufig gestellte Fragen (FAQ)
Da sie bei der Authentifizierung von Nutzern, die Zugriff auf eine Anwendung oder einen Service anfordern, eine zusätzliche Sicherheitsebene einführen, sind MFA-Sicherheitslösungen entscheidend für Zero‑Trust-Netzwerke und für die Sicherheit bei Remotearbeit. Unternehmen, die für zusätzliche Sicherheit eine MFA-Lösung implementieren, haben ein wesentlich geringeres Risiko, Opfer einer Sicherheitsverletzung zu werden, als Unternehmen, die dies nicht tun.
Identity Provider (IdP) sind Unternehmen, die sich auf die Bereitstellung von Authentifizierungs- und Autorisierungsservices für Kunden spezialisiert haben. Sie bieten Services wie Identitätsüberprüfung, Nutzerauthentifizierung, Single Sign-on, Zugriffskontrolle und vieles mehr an. Der Zweck eines IdP besteht darin, die Sicherheit von Nutzer- und Anmeldedaten zu gewährleisten und die Identität von Nutzern zu schützen.
FIDO (Fast IDentity Online) ist ein offener Branchenverband, der das Ziel verfolgt, durch die Entwicklung und Förderung offener Standards für eine sichere Authentifizierung dem weltweit zu starken Vertrauen in Passwörter entgegenzuwirken. Die FIDO Alliance arbeitet an einem sicheren, interoperablen Standard für Authentifizierung und Autorisierung, der Passwörter ersetzen und die negativen Folgen von Betrug und Identitätsdiebstahl reduzieren soll. Public-Key-Kryptographie bildet die Grundlage der FIDO-Authentifizierung, die Nutzern mithilfe einer Vielzahl von Anmeldedaten, wie z. B. USB-Sicherheitsschlüssel, biometrische Merkmale oder Mobiltelefone, die Authentifizierung bei Online-Services ermöglicht.
Warum entscheiden sich Kunden für Akamai?
Akamai unterstützt und schützt das digitale Leben. Führende Unternehmen weltweit setzen bei der Erstellung, Bereitstellung und beim Schutz ihrer digitalen Erlebnisse auf Akamai. So unterstützen wir täglich Milliarden von Menschen in ihrem Alltag, bei der Arbeit und in ihrer Freizeit. Akamai Connected Cloud, eine stark verteilte Edge- und Cloudplattform, bringt Anwendungen und Erlebnisse näher an die Nutzer und hält Bedrohungen fern.