Die Vor- und Nachteile verschiedener MFA-Methoden

Multifaktor-Authentifizierung (MFA) hilft dabei, Konten eine zusätzliche Sicherheitsebene hinzuzufügen. Sie sollten aber wissen, dass nicht alle MFA-Methoden in Bezug auf Benutzerfreundlichkeit und Sicherheit gleich sind. In diesem Blog gehen wir auf die verschiedenen Arten von MFA-Methoden sowie die Vor- und Nachteile der einzelnen Methoden ein.

SMS-basierte Multifaktor-Authentifizierung (MFA)

SMS-basierte Multifaktor-Authentifizierung (MFA) erlaubt es Benutzern, ihre Identität durch ein Einmalpasswort (OTP), das an ihr Telefon gesendet wird, zu bestätigen. Wenn ein Benutzer versucht, sich bei seinem Konto anzumelden, sendet das System ein einzigartiges Einmalpasswort (OTP) per Textnachricht an die zugehörige Telefonnummer. Der Benutzer muss dann den Code in die Anmeldeoberfläche eingeben, um den Authentifizierungsprozess abzuschließen und Zugriff auf sein Konto zu erhalten.

Vorteile

1. Einfach einzurichten und zu verwenden: Benutzer benötigen nur eine gültige Telefonnummer.

2. Weit verbreitet: Fast alle Mobiltelefone können SMS-Nachrichten empfangen, unabhängig davon, ob es sich um Smartphones oder einfache Mobiltelefone handelt.

3. Keine spezielle Hardware erforderlich: Benutzer benötigen nur ein Mobiltelefon, das SMS-Nachrichten empfangen kann.

Nachteile

1. Anfällig für SIM-Swapping: Ein Betrüger kann den Mobilfunkanbieter eines Benutzers davon überzeugen, die Telefonnummer des Benutzers auf eine neue SIM-Karte zu übertragen, die vom Betrüger kontrolliert. Dies ermöglicht es Betrügern, SMS-Nachrichten (einschließlich OTPs) abzufangen.

2. Anfällig für Phishing: Betrüger können sich durch Textnachrichten als legitime Unternehmen ausgeben und Benutzer dazu bringen, ihre OTPs preiszugeben.

3. Nicht so sicher wie andere MFA-Methoden: SMS-Nachrichten sind nicht verschlüsselt, sodass das Risiko besteht, dass ein OTP während der Übertragung abgefangen werden kann.

E-Mail-basierte MFA

E-Mail-basierte MFA ermöglicht es Benutzern, sich über einen Code oder einen magischen Link zu verifizieren, der an ihre registrierte E-Mail-Adresse gesendet wird. Wenn ein Benutzer versucht, sich bei seinem Konto anzumelden, erhält er eine E-Mail mit einem OTP oder einem magischen Link. Der Benutzer muss dann das OTP eingeben oder auf den magischen Link klicken, um den Authentifizierungsprozess abzuschließen und Zugriff auf sein Konto zu erhalten.

Vorteile

1. Einfach einzurichten und zu verwenden: Benutzer benötigen nur eine E-Mail-Adresse, die die meisten bereits haben.

2. Keine zusätzlichen Apps oder Geräte erforderlich: Es reicht ein Gerät mit Zugriff auf das E-Mail-Konto des Benutzers, unabhängig davon, ob es sich um ein Smartphone, ein Tablet oder einen Computer handelt.

Nachteile

1. Anfällig für die Kompromittierung von E-Mail-Konten: Wenn das E-Mail-Konto eines Benutzers kompromittiert wird, kann sich ein Angreifer Zugriff auf das Einmalpasswort (OTP) verschaffen und so die Multifaktor-Authentifizierung (MFA) umgehen.

2. Ist auf die Verfügbarkeit von E-Mail angewiesen: Wenn der Benutzer aufgrund von Problemen (wie einer nicht verfügbaren Internetverbindung oder Dienstausfällen) nicht auf sein E-Mail-Konto zugreifen kann, kann er sich nicht bei seinem Konto anmelden, da kein Einmalpasswort (OTP) oder Magic Link empfangen werden kann.

Authentifizierung per Sprachanruf

Die Authentifizierung per Sprachanruf ermöglicht es Benutzern, sich durch ein OTP zu verifizieren, das per Sprachanruf an die registrierte Telefonnummer, die mit ihrem Konto verknüpft ist, übermittelt wird. Wenn ein Benutzer versucht, sich bei seinem Konto anzumelden, erhält er einen automatisierten Sprachanruf, in dem das System ein einzigartiges OTP vorliest. Der Benutzer gibt diesen Code dann in die Anmeldeoberfläche ein, um den Authentifizierungsprozess abzuschließen und Zugriff auf sein Konto zu erhalten.

Vorteile

1. Einfach und zugänglich für Benutzer ohne Smartphones: Erfordert im Gegensatz zu SMS-basierten oder Authentifizierungsanwendungen kein Smartphone und keinen Datentarif. Es wird nur ein einfaches Mobiltelefon benötigt, das Anrufe empfangen kann.

2. Funktioniert auch ohne Internetverbindung: Solange der Benutzer Zugriff auf das Mobilfunknetz hat, kann er einen Sprachanruf mit dem OTP erhalten, und zwar unabhängig vom Internetzugriff.

Nachteile

1. Anfällig für SIM-Swapping: Ein Betrüger kann den Mobilfunkanbieter eines Benutzers davon überzeugen, die Telefonnummer des Benutzers auf eine neue SIM-Karte zu übertragen, die vom Betrüger kontrolliert wird. Dies ermöglicht es Angreifern, das OTP, das per Sprachanruf übermittelt wird, abzufangen.

2. Anfällig für Spoofing und Vishing: Angreifer können die Telefonnummer eines legitimen Dienstes spoofen und Benutzer dazu bringen, zu glauben, dass sie einen OTP-Anruf erhalten. Der Angreifer kann dann sensible Daten anfordern oder den Benutzer davon überzeugen, das OTP bei einer bösartigen Website einzugeben.

3. Einschränkungen bei Hörbehinderung: Benutzer mit Hörbehinderungen können das während des Anrufs angegebene OTP möglicherweise nicht klar hören.

Authentifizierungs-Apps

Authentifizierungs-Apps sind Anwendungen, die OTPs anhand des Verifizierungsmodells Zeitbasiertes Einmalpasswort (TOTP) generieren. Hochwertige Passwort Manager verfügen meist über eine Authentifizierungs-App-Funktion in der Plattform, die es Benutzern ermöglicht, Codes auf allen Geräten zu speichern und aufzurufen.

Bei der Einrichtung von MFA mit einer Authentifizierungs-App scannen Benutzer entweder einen QR-Code oder geben manuell einen geheimen Schlüssel ein. Mit diesem Schlüssel wendet die App einen Algorithmus an, um einzigartige, zeitsensible OTPs zu generieren, die sich alle 30 bis 60 Sekunden ändern. Wenn ein Benutzer versucht, sich bei seinem Konto anzumelden, muss er den in der Authentifizierungs-App angezeigten Code eingeben. Der Server prüft, ob der eingegebene Code mit dem vom Server generierten Code übereinstimmt, und wenn dies der Fall ist, erhält der Benutzer Zugriff.

Vorteile

1. Offline verfügbar: Es ist keine Internetverbindung für die Generierung von OTPs erforderlich, da die App zur Erstellung der zeitbasierten Codes den gespeicherten geheimen Schlüssel verwendet.

2. Kostenlos: Die meisten Authentifizierungs-Apps können kostenlos heruntergeladen und verwendet werden und sind somit eine sichere und kostengünstige MFA-Lösung.

Nachteile

1. Erfordert ein Smartphone oder ein anderes dediziertes Gerät: Benutzer müssen Zugriff auf ein Gerät haben, das die App unterstützt.

2. Anfällig für App-spezifische Angriffe: Wenn ein Angreifer Zugriff auf das Gerät eines Benutzers erhält, kann er auf die gespeicherten geheimen Schlüssel zugreifen, um OTPs für unbefugten Zugriff zu generieren.

3. Ist für manche Benutzer zu kompliziert: Das Installieren der App, das Scannen eines QR-Codes und das Verwalten verschiedener Online-Konten in der App kann für weniger technisch versierte Benutzer zu kompliziert sein.

FIDO2-Sicherheitsschlüssel

Ein FIDO2-Sicherheitsschlüssel ist eine hardwarebasierte MFA-Methode, die es Benutzern ermöglicht, sich sicher bei ihren Konten anzumelden, ohne ein Passwort oder einen Code eingeben zu müssen. Es handelt sich dabei um ein physisches Gerät, das ein Benutzer mit seinem Computer oder Mobilgerät verbindet, in der Regel über USB, NFC oder Bluetooth. FIDO2-Sicherheitsschlüssel verwenden Kryptografie mit öffentlichen Schlüsseln, um ein Schlüsselpaar zu erstellen: einen öffentlichen Schlüssel, der auf dem Server gespeichert wird, und einen privaten Schlüssel, der sicher im Sicherheitsschlüssel selbst gespeichert wird. Wenn ein Benutzer versucht, sich bei einem Konto anzumelden, nutzt er den FIDO2-Sicherheitsschlüssel, wenn er dazu aufgefordert wird, und tippt ihn an, wobei er die Authentifizierungsaufforderung mit dem privaten Schlüssel unterzeichnet, um seine Identität zu bestätigen.

Vorteile

1. Immun gegen Man-in-the-Middle-Angriffe: Angreifer können keine Daten zwischen dem Benutzer und dem Server abfangen, da sie nicht über den privaten Schlüssel verfügen, der für den Abschluss der Authentifizierung erforderlich ist.

2. Immun gegen Phishing-Angriffe: Angreifer können Benutzer nicht dazu bringen, private Schlüssel oder Authentifizierungscodes preiszugeben, da sich die Methode auf Kryptografie mit öffentlichen Schlüsseln und die physische Anforderung des Sicherheitsschlüssels stützt.

3. Resistent gegen SIM-Swapping: Die Sicherheitsschlüssel kommen ohne Telefonnummer aus, sodass die Anfälligkeit für SIM-Swapping eliminiert wird.

4. Funktioniert mit verschiedenen Apps und Websites: FIDO2-Sicherheitsschlüssel werden von den wichtigsten Browsern, Plattformen und Geräten unterstützt.

Nachteile

1. Kostet Geld: FIDO2-Sicherheitsschlüssel können je nach Funktionsumfang und Marke zwischen 20 und 100 Euro oder mehr kosten.

2. Der Verlust des Schlüssels kann, wenn keine Backup-Methode konfiguriert ist, eine Sperre zur Folge haben: Wenn ein Benutzer seinen FIDO2-Sicherheitsschlüssel verliert, kann er aus seinem Konto ausgesperrt werden, es sei denn, er verfügt über eine Backup-Authentifizierungsmethode (wie einen anderen Schlüssel, einen Sicherungscode oder eine Wiederherstellungsoption).

3. Erfordert ein physisches Gerät: Benutzer müssen den Schlüssel immer bei sich haben, um sich zu authentifizieren, was unpraktisch sein kann, wenn das Gerät verlegt oder vergessen wurde bzw. nicht leicht zugänglich ist.

Hardware-Token

Hardware-Token sind physische Geräte wie Schlüsselanhänger oder Smartcards, die dazu dienen, die Identität eines Benutzers durch die Generierung von TOTP-Codes zu überprüfen. Wenn ein Benutzer versucht, sich bei einem Konto anzumelden, fordert das System den Benutzer auf, das vom Hardware-Token generierte Einmalpasswort (OTP) einzugeben. Je nach Token-Typ liest der Benutzer entweder den Code auf dem Bildschirm des Geräts oder drückt eine Taste, um den Code anzuzeigen, den er dann in die Anmeldeoberfläche eingibt. Der Server überprüft anhand des gemeinsamen Geheimnisses und der aktuellen Uhrzeit, ob der eingegebene Code mit dem von ihm generierten Code übereinstimmt. Wenn die Codes übereinstimmen, erhält der Benutzer Zugriff.

Vorteile

1. Generieren OTPs auch ohne Internetverbindung: Dies macht Hardware-Token ideal für Benutzer in Umgebungen, in denen keine Internetverbindung verfügbar ist.

2. Einfach einzurichten und zu verwenden: Der Benutzer muss das Hardware-Token lediglich mit seinem Konto verknüpfen, und schon kann es automatisch ohne weitere Eingriffe OTPs generieren.

Nachteile

1. Kostet Geld: Benutzer oder Unternehmen müssen das physische Gerät kaufen, was sich insbesondere in größeren Unternehmen, die Token für mehrere oder alle Benutzer bereitstellen müssen, summieren kann. Token können ab 20 Euro bis 100 Euro oder mehr kosten.

2. Verlorene oder gestohlene Token: Benutzer können möglicherweise nicht auf ihre Konten zugreifen, bis ein Ersatz bereitgestellt wird, was dauern kann.

3. Erfordert ein physisches Gerät: Benutzer müssen die Token jederzeit bei sich haben, um auf ihre Konten zugreifen zu können. Dies kann unpraktisch sein, wenn ein Token verlegt oder vergessen wurde.

Biometrische Authentifizierung

Biometrische Authentifizierung ist eine Art von MFA-Methode, die physische oder Verhaltensmerkmale verwendet, um die Identität eines Benutzers zu überprüfen. Im Gegensatz zu herkömmlichen Passwörtern oder OTP-Codes basiert biometrische Authentifizierung auf einzigartigen Merkmalen, die jeder Person innewohnen. Diese Merkmale können Fingerabdrücke, Gesichtsmerkmale, Sprachmuster, Iris- oder Netzhaut-Scans oder auch Tippmuster sein. Wenn ein Benutzer versucht, sich anzumelden, erfasst und analysiert das System seine biometrischen Daten und vergleicht sie mit gespeicherten Daten aus der Ersteinrichtung, um die Identität des Benutzers zu überprüfen.

Vorteile

1. Schnell, einfach und erfordert minimale Einrichtung: Bei der Ersteinrichtung muss der Benutzer seinen Fingerabdruck, sein Gesicht oder ein anderes biometrisches Merkmal scannen. Nach der Einrichtung erfordert die Authentifizierung nichts weiteres als einen Blick oder eine Berührung.

2. Einzigartig für jeden Benutzer: Biometrische Merkmale sind schwer zu replizieren, und die Wahrscheinlichkeit, dass zwei Personen denselben Fingerabdruck, dieselben Gesichtsmerkmale oder dasselbe Netzhautmuster haben, ist extrem gering.

Nachteile

1. Nicht immer effektiv: Zum Beispiel kann das System, wenn der Finger eines Benutzers schmutzig oder verletzt ist, Schwierigkeiten haben, den Fingerabdruck korrekt zu lesen. Wenn Personen Brillen, Masken oder Hüte tragen, kann es sein, dass das System das Gesicht nicht genau erkennt.

2. Bedenken hinsichtlich des Datenschutzes und Missbrauchs von biometrischen Daten: Wenn biometrische Daten unsicher gespeichert oder aufgerufen werden, können sie anfällig für Diebstahl oder Missbrauch sein.

3. Potenzial für falsch positive Treffer: Zum Beispiel können Zwillinge oder ähnlich aussehende Personen mit ähnlichen Gesichtsmerkmalen einen falsch positiven Treffer auslösen.

Push-Benachrichtigungen

Push-Benachrichtigungen ermöglichen es Benutzern, ihre Identität zu bestätigen, indem sie eine Benachrichtigung auf ihrem Mobilgerät erhalten. Beim Versuch, sich anzumelden, erhält der Benutzer, anstatt manuell einen OTP-Code eingeben zu müssen, eine Push-Benachrichtigung, die ihn auffordert, den Anmeldeversuch zu genehmigen oder abzulehnen. Durch die Auswahl von „Genehmigen“ verifiziert der Benutzer seine Identität und bestätigt, dass er derjenige ist, der die Anmeldung initiiert hat, ohne einen Code manuell eingeben zu müssen.

Vorteile

1. Schneller Genehmigungsprozess: Im Gegensatz zu OTP-Methoden, bei denen der Benutzer auf eine Textnachricht warten und einen Code eingeben muss, erfolgt der Genehmigungsprozess mit Push-Benachrichtigungen sofort.

2. Sicherer als SMS: Push-Benachrichtigungen werden über eine verschlüsselte Verbindung zum Server übermittelt, was sie weniger anfällig für Abfangen macht.

Nachteile

1. Benötigt für den Empfang ein Smartphone oder Gerät: Es ist ein Gerät erforderlich, das Benachrichtigungen empfangen kann, um den Authentifizierungsprozess abzuschließen.

2. Funktioniert nicht, wenn das Telefon des Benutzers verloren geht, gestohlen wird bzw. offline oder im Flugzeugmodus ist: Wenn ein Benutzer kein Smartphone hat oder sich in einer Situation befindet, in der das Gerät nicht verfügbar ist, kann er nicht auf seine Konten zugreifen.

Was Sie bei der Auswahl einer MFA-Methode beachten sollten

Bei der Entscheidung für eine bestimmte MFA-Methode sollten Sie verschiedene Aspekte berücksichtigen, damit die gewählte Lösung am Ende Ihre spezifischen Anforderungen erfüllt. Zu diesen Aspekten gehören Ihre Sicherheitsanforderungen, Komfort und die Kosten der Implementierung.

• Sicherheitsanforderungen: Das erforderliche Sicherheitsniveau variiert je nach Sensibilität der zu schützenden Daten. Für hochsensible Daten ist es am besten, eine MFA-Lösung zu wählen, die das höchste Schutzniveau bietet. Lösungen wie Biometrie, Hardware-Token oder FIDO2-Sicherheitsschlüssel gelten wegen ihrer Resistenz gegen gängige Cyberbedrohungen als die stärksten Formen von MFA.
• Benutzerkomfort: Bewerten Sie Ihre Präferenz zwischen einfachem Zugriff und maximaler Sicherheit. Sie sollten unbedingt ein Gleichgewicht zwischen Einfachheit und Sicherheit finden, um eine benutzerfreundliche Erfahrung zu gewährleisten und gleichzeitig sensible Daten zu schützen. Wenn Komfort Priorität hat, sind Lösungen wie Biometrie oder Push-Benachrichtigungen ideal, da sie eine schnelle und nahtlose Authentifizierung ermöglichen.
• Kosten: Berücksichtigen Sie sowohl die Anfangskosten der Implementierung als auch die laufenden Wartungskosten. Manche MFA-Lösungen können niedrige Kosten aufweisen (wie z. B. SMS-basierte Authentifizierung), während andere wie Hardware-Token oder FIDO2-Sicherheitsschlüssel teurer in der Bereitstellung und Pflege sind.

Schützen Sie Ihre Konten mit sicheren MFA-Methoden

Ein Verständnis der Vor- und Nachteile verschiedener Methoden ist Voraussetzung für die Auswahl der richtigen MFA-Lösung. Unabhängig von der Methode, die Sie wählen, aktivieren Sie MFA stets für jedes Konto, bei dem es die Option gibt. Jede MFA-Option ist weitaus sicherer als keine MFA-Option.

Keeper Password Manager erlaubt es Ihnen, TOTP-Codes zu speichern, aufzurufen und sicher zu teilen – und füllt sie sogar automatisch für Sie aus. So können alle Benutzer in Ihrem Unternehmen starke Passwörter verwenden und MFA für alle Konten aktivieren.

Starten Sie eine kostenlose 14-tägige Testversion von Keeper Password Manager, um die Sicherheit Ihrer Konten zu erhöhen.