Kennwörter sind schwer zu merken und noch schwieriger regelmäßig zu ändern, und es wird immer schwieriger, starke Anmeldeinformationen zu entwerfen. Anstatt sich der Herausforderung zu stellen, verlassen sich viele Benutzer auf schwache Passwörter und verwenden sie für mehrere Konten wieder. Dies macht es Cyberkriminellen leicht, Zugangsdaten zu erraten oder sich diese zu beschaffen Phishing-Angriffe.
Einmal gesammelt, können Anmeldeinformationen im Dark Web verkauft werden. Dann können der ursprüngliche Kriminelle und Horden anderer Angreifer Zugriff auf persönliche und geschäftliche Systeme und Daten erhalten.
Zwei-Faktor-Authentifizierung (2FA) und Multi-Faktor-Authentifizierung (MFA) sind akzeptierte Methoden, um Anmeldeinformationen weniger anfällig zu machen. 2FA stützt sich auf eine Kombination aus etwas, das Sie wissen (z. B. Benutzername/Passwort) und etwas, das Sie haben (z. B. Ihr Handy oder Computer, Schlüsselkarte oder USB-Stick) oder etwas, das Sie sind (z. B. ein Scan Ihrer Iris oder Ihres Fingerabdrucks). um sicherzustellen, dass nur autorisierte Personen auf sensible Systeme und Informationen zugreifen können.
MFA kann alle drei Faktoren umfassen. Selbst wenn die Kombination aus Benutzername und Passwort gestohlen wird, ist der Zugriff auf ein Konto mit MFA äußerst schwierig, da Kriminelle die zusätzlichen Authentifizierungsschritte nicht durchführen können.
Wenn MFA und Mobilgeräte nicht zusammenpassen
Gängige Methoden der MFA-Implementierung hängen oft von der Nutzung mobiler Geräte ab. Wenn eine SMS-Nachricht, ein Einmalpasswort oder eine Push-Benachrichtigung gesendet wird, wird sie normalerweise an das Smartphone des Benutzers gesendet. Das heißt, es gibt bestimmte Risiken im Zusammenhang mit dem Senden von SMS-, OTP- oder Push-Benachrichtigungen für MFA. Bei falscher Implementierung oder als einzige Sicherheitsmethode können Nachrichten gehackt und Codes abgefangen werden. Tatsächlich hat die US-Regierung empfohlen, dass keine MFA-Lösung ausschließlich auf SMS-Verifizierungstools angewiesen ist.
Bieten Sie Schutz außerhalb der mobilen MFA
Um diese Lücken zu schließen und eine 100-prozentige MFA-Abdeckung zu gewährleisten, können Behörden Hardware-Sicherheitsschlüssel in Betracht ziehen. Der Schlüssel ist normalerweise ein physisches Gerät, häufig ein USB-Schlüssel, der nur Zugriff auf Konten gewährt, wenn er mit einem Computer verbunden ist. Es bietet ein hohes Maß an Schutz vor Phishing und Hacking, da niemand ohne die Anmeldedaten und den Schlüssel auf ein Konto zugreifen kann. Und es ist nicht von einem Telefon abhängig.
Eine andere Lösung ist Login.govSie Allgemeine Dienstverwaltungdie Cloud-basierte Remote-Identitätsprüfungsplattform. Login.gov bietet eine starke Authentifizierung, um den öffentlichen Zugriff auf teilnehmende Programme zu ermöglichen, wobei MFA sowohl für Desktop-Computer als auch für mobile Geräte verwendet wird. Der Benutzer muss nur ein Login.gov-Konto erstellen, ein sicheres Passwort erstellen und dann eine oder mehrere zusätzliche Authentifizierungsmethoden auswählen. Dazu gehören Sicherheitsschlüssel, Authentifizierungs-Apps, biometrische Verfahren und die Überprüfung der persönlichen Identität oder gemeinsame Zugangskarten.
Quelle: govtech.com, „Fed Authentication Service Coming to State, Local Government“, 5. März 2021
Wie Login.gov mit der Authentifizierung umgeht
Einige Login.gov-Authentifizierungsoptionen erfordern kein mobiles Gerät. Diese schließen ein:
- Sicherheitsschlüssel: Diese physischen Geräte bieten den höchsten Schutz vor Phishing und Hacking bei Verlust oder Diebstahl. Um mit Login.gov verwendet zu werden, müssen die Sicherheitsschlüssel übereinstimmen Schnelle Identitäts-Online-Standards. Beispiele hierfür sind YubiKeys, die viele Protokolle unterstützen und mit einer Vielzahl von Online-Diensten kompatibel sind.
- Authentifizierungsanfragen: Wenn diese Apps auf einen Computer heruntergeladen werden, generieren sie sichere sechsstellige Codes, die zur Anmeldung bei Konten verwendet werden. Die App ist sicherer als Telefonanrufe oder Textnachrichten, die anfällig für Phishing, Hacking oder das Abfangen durch Cyberkriminelle sind, die die Nachrichten umleiten können. Beispiele für Authentifizierungs-Apps sind 1Passwort und OTP-Manager für die Fenster und Mac Geräte und die Authenticator-Erweiterung für Chrom.
- Biometrische Authentifizierung: Gesichtserkennung und Anmeldung per Fingerabdruck bei Login.gov-Konten sind Phishing-resistente Methoden, aber sie haben einige Einschränkungen. Sie können nur auf Geräten verwendet werden, die sie unterstützen, und sie sind sowohl geräte- als auch browserspezifisch. In den meisten Fällen müssen Benutzer Hardware für die Fingerabdruckerkennung oder eine biometrische Kamera kaufen und installieren.
- PIV oder CAC: Personal Identity Verification oder Common Access Cards sind sichere Optionen für Bundesbedienstete und Militärpersonal. Sie sind Phishing-resistent und bei Diebstahl schwer zu hacken. Allerdings stehen diese Karten nicht jedem zur Verfügung.
- Sicherungscodes: Wenn alles andere fehlschlägt, kann Login.gov eine Liste von Backup-Codes generieren, von denen jeder nur einmal während der Anmeldung verwendet werden kann. Dies ist die am wenigsten sichere Option für MFA; Codes müssen gedruckt oder aufgeschrieben werden, was sie genauso anfällig macht wie Passwörter, die auf Haftnotizen geschrieben sind, die auf einem Schreibtisch zurückgelassen werden. Benutzer, die Backup-Codes als bevorzugte MFA-Methode auswählen, sollten die Codes streng schützen.
MFA-Methoden, die auf Mobilgeräten basieren, können praktisch sein, aber es besteht Bedarf an ebenso leistungsstarken Alternativen. Login.gov bietet mehrere MFA-AuthentifizierungsoptionenAusweitung der Reichweite der starken Authentifizierung auf diejenigen, die mobile Geräte nicht verwenden können oder wollen.
NÄCHSTE: Warum Insider die größte Bedrohung für Ihre Zero-Trust-Bemühungen darstellen könnten.