2-Faktor Authentifizierung

Urs Schöni

2. Februar 2022

Security

2FA Graphic
Benutzername und Passwort können, speziell bei schwachen Passwörtern, erraten oder gestohlen werden. Ist dies einmal geschehen, so können sie, ohne dass es der Benutzer bemerkt, angewendet werden und verleihen dem Kriminellen die gleichen Rechte und Datenzugriffe wie dem rechtmässigen Benutzer.
Solche Zugriffe kann man verhindern, indem man einen zweiten vertraulichen Schlüssel einführt, der nur von einem Gerät, das sicher unter der eigenen Kontrolle ist, generiert werden kann.
Es gibt verschiedene Anwendungen für die Generierung dieses zweiten Faktors. Das wären beispielweise der Microsoft oder Google Authenticator oder der Passwortmanager „Myki“ von Triasys. Viele kennen wohl auch noch die Möglichkeit, ein SMS an das eigene Smartphone senden zu lassen. Diese Methode ist aber veraltet und deutlich weniger sicher als die neuen Authenticator Apps.
Allen Authenticator Apps gemeinsam ist die Tatsache, dass sie vor dem ersten Gebrauch mit der Anwendung, die den zweiten Faktor abfragt (z.B. Cloudanmeldung), gepaart werden müssen. Dabei wird ein geheimer Schlüssel ausgetauscht, der auf dem Gerät gespeichert bleibt. Dadurch bedingt kann man üblicherweise nur ein Gerät verwenden, um diesen 2. Faktor generieren zu können.
Ein Ausnahme dazu bildet ein Passwortmanager wie Myki, der geräteübergreifend zur Verfügung steht und auch geräteübergreifend den zweiten Faktor generieren kann. Die Sicherheit wird bei dieser Verwendung durch die separate Anmeldung bei Myki sichergstellt.
Bei Anmeldungen, die sehr häufig nötig sind wie zum Beispiel die Microsoft Office Anmeldung, kann man im Azure Active Directory festlegen, wie lange einem bestimmten Gerät vertraut wird, bis der zweite Faktor wieder verlangt wird. Diese Periode liegt typischerweise zwischen 30 und 60 Tagen.
Bei der Anmeldung bei einer Anwendung müssen also zuerst Benutzername und Passwort eigegeben werden und in einem zweiten Schritt der generierte Schlüssel, der normalerweise aus einer sechsstelligen Zahl besteht und nur 30 Sekunden lang gültig ist.
Der Passwortmanager Myki hat in diesem Szenario wiederum den Vorteil, dass er den Schlüssel selbständig in das richtige Feld überträgt und die Enter Taste durch den Benutzenden abwartet.
 
Ich möchte einen zweiten Faktor, aber die Anwendung stellt die Möglichkeit nicht zur Verfügung?
Die Abfrage für den zweiten Faktor muss durch die Anwendung zur Verfügung gestellt werden. Sollte dies nicht der Fall sein, können wir durch ein Drittwerkzeug von Watchguard eine zusätzliche Barriere einbauen, die einen zweiten Faktor abfragt. Damit können Sie beispielweise den Zugriff auf Ihre Terminalserver von ausserhalb der Firma nur mit 2FA erlauben, von intern jedoch mit der einfachen Anmeldung.
Falls sie mehr zur 2-Faktor Authentifizierung im Generellen, zum Passwortmanager Myki oder zum 2-Faktor Werkzeug von Watchguard wissen möchten, können Sie uns unverbindlich kontaktieren. 044 820 45 50 oder info@triasys.ch