Multi-Faktor-Authentifizierung für sichere Remote-Arbeitsplätze
Die besonderen Umstände erforderten besondere Maßnahmen und viele Anwender wurden ins Home-Office geschickt. Dies stellte die IT zum Teil vor große Herausforderungen, neue Lösungen mussten schnell etabliert werden. Was sonst Jahre gedauert hätte, wurde nun in wenigen Wochen eingerichtet. Dabei konnten natürlich nicht alle Aspekte der Sicherheit genau betrachtet werden, deswegen ist es jetzt ein guter Zeitpunkt, sich Gedanken zum Beispiel über das Thema Sicherheit zu machen. Wobei wir uns in diesem Beitrag besonders den Hintergrund zu einer sicheren Anmeldung anschauen wollen. Denn der allseits bekannte Benutzername mit einem Kennwort hält aktuellen Bedrohungslagen nicht mehr stand, so dass Unternehmen eine sogenannte Multi-Faktor-Authentifizierung einführen sollten. Dies gilt insbesondere für Remote-Arbeitsplätze, da diese besonders einfach angegriffen werden können.
Wie nutzt man Multi-Faktor-Authentifizierung (MFA)?
Unter Multi-Faktor-Authentifizierung (MFA) versteht man die Authentifizierung eines Benutzer durch Besitz und Wissen. Das heißt der Anwender benötigt nicht nur Benutzername und Kennwort, um seine Identität zu beweisen, sondern noch einen weiteren Faktor, zum Beispiel ein weiteres Gerät wie eine Smartcard oder ein Token, der eine wechselnde Nummer anzeigt, die eingegeben werden muss. Dieses Verfahren nutzen wir im Remote-Desktop Bereich eigentlich schon seit Jahrzenten. Dadurch können sich Anwender praktisch von überall auf die Infrastruktur zugreifen und haben damit einen erhöhten Schutzbedarf.
Man kann sich leicht vorstellen, dass wenn man nur einen Benutzernamen und ein Kennwort benötigt, diese häufig über sogenanntes Social Engineering herauszubekommen wären. Der Benutzername leitet sich in der Regel vom Namen des Anwenders ab und die Kennwörter stehen oft in irgendeinem Zusammenhang mit ihm, wie zum Beispiel das Geburtsdatum eines Kindes oder ein beliebtes Urlaubsland. Hat man erst einmal den Benutzernamen herausgefunden, so können ohne MFA die Kennwörter auch über Brute Force Methoden ermittelt werden. Zumindest kann der Anwender in seiner Arbeit gestört werden, da Kennwörter durch mehrmalige falsche Eingabe gesperrt werden können.
Zusätzlich besteht die Gefahr, dass jemand anderes einem über die Schulter schaut, während man sein Kennwort eingibt oder dass das Kennwort auf dem berühmten gelben Zettel steht, bei Anwendern die sehr vergesslich sind oder ihr Kennwort zu häufig ändern müssen (by the way – neue Studien haben herausgefunden, dass ein erzwungener Wechsel der Kennwörter unsicherer ist, als feste komplexe Kennwörter). Sobald die Anmeldung von praktisch überall möglich ist, leuchtet es damit ein, dass eine Multi-Faktor-Authentifizierung große Sicherheitsvorteile bietet.
Multi-Faktor-Authentifizierung mit RSA
Historisch gesehen wurden häufig Produkte von RSA, insbesondere innerhalb von Citrix Enterprise Infrastrukturen genutzt. Praktisch alle unsere Enterprise Kunden haben oder hatten RSA im Einsatz, um eine Multi-Faktor-Authentifizierung für die Anmeldung an Remote-Dienste zu erzwingen. Dabei wurden sogenannte Token an die Anwender ausgeteilt. Der Token zeigt eine sich ändernde Nummer an, und zusätzlich braucht der Anwender eine PIN die statisch ist. Meldet er sich nun zum Beispiel von einem Internetcafé an der Citrix Infrastruktur an, so muss er nicht nur seinen Benutzernamen und sein Kennwort eingeben, sondern eben auch den PIN plus die 4-stellige Zahl, die auf seinem Token angezeigt wird. Damit wird es Hackern unmöglich gemacht, sich als dieser Anwender am System zu authentifizieren, da sie die sich ändernde Zahl ja nicht erraten können oder zumindest die Wahrscheinlichkeit extrem gering ist.
[den Blogbeitrag von Matthias Wessner und Dominik Secker weiterlesen]