Die meisten von uns sind bereits mit der Zwei-Faktor-Authentifizierung (2FA/MFA) vertraut, sei es der Erhalt eines Einmalpassworts (OTP) per SMS, eine Push-Benachrichtigung oder die Verwendung von Biometrie, um uns mit unseren verschiedenen Konten zu verknüpfen. In Europa haben Anforderungen im Zusammenhang mit der starken Kundenauthentifizierung (SCA), die im Rahmen der Zahlungsdiensterichtlinie II (PSD2) eingeführt wurden, stark zur Popularisierung der Zwei-Faktor-Authentifizierung (2FA) für Online-Einkäufe beigetragen.
Aber Finanzdienstleister sollten nicht die einzigen sein, die sich mit Authentifizierungsproblemen befassen. Im Jahr 2021 haben mehrere große Akteure bei Online-Verbraucherdiensten erhebliche Fortschritte bei der Ermutigung der Nutzer zur Einführung des MFA gemacht:
- Google hat sich verpflichtet, für alle G-Suite-Benutzer eine Multi-Faktor-Authentifizierung zu verlangen
- Microsoft hat vollständig passwortlose Kontooptionen eingeführt
- Twitter teilte seine Daten zur Einführung der Zwei-Faktor-Authentifizierung
- Facebook Protect wurde weltweit eingeführt und erweitert
- Google hat Tausende von Sicherheitsschlüsseln an Personen mit hohem Risiko verteilt
Das ist ein sehr spürbarer Fortschritt. Die Ineffektivität und Anfälligkeit von Passwörtern als Online-Sicherheitsmethode ist heute allgemein bekannt, aber bis vor einigen Jahren war diese Praxis die Norm. MFA – auch wenn es an Passwörter gebunden ist – kann Benutzer aller Online-Dienste vor vielen Remote-Angriffen schützen. Aber das ist nicht genug, es gibt noch viel zu tun, sowohl von den oben genannten Technologiegiganten als auch von anderen verbraucherorientierten Cloud-Lösungsanbietern (CSPs).
Wie können CSPs ihre Authentifizierungsmethoden verbessern?
Machen Sie MFA für Benutzer obligatorisch:
Es lässt sich nicht leugnen, dass die Branche in Bezug auf die Einführung von MFA vom „Ob“ zum „Wann“ übergegangen ist. Aber damit Benutzer ihr Verhalten ändern können, müssen sie sie zwingen, die Multi-Faktor-Authentifizierung zu verwenden. Abgesehen von einigen wenigen technisch versierten Personen möchten nur wenige Benutzer die Art und Weise ändern, wie sie auf ihre Konten zugreifen, insbesondere wenn dies komplexer ist.
Wir sehen allmählich einen Trend zur Forderung nach Multi-Faktor-Authentifizierung. Wir freuen uns, dass Meta Anfang Dezember Facebook Protect auf mehr Benutzer und Regionen ausgeweitet hat, was die Verwendung von Profilen mit hohem Risiko durch MFA einschließt. Oder als Google seine Absicht ankündigte, die MFA für mehr seiner Nutzer anzufordern. Das ist ein guter Anfang, aber damit sich die „virtuelle Welt“ wirklich schützen kann, müssen mehr Dienstanbieter und ein größerer Teil ihrer Kunden nachziehen.
Transparent sein:
Dieser Punkt führt zum nächsten Punkt. Anbieter von Gemeinschaftsdiensten müssen auch den Status der Einführung von MFA transparenter machen. Letzten Sommer hat Twitter seine 2FA-Akzeptanzzahlen veröffentlicht, und nur 2,3 % der Konten haben es aktiviert. 80 % von ihnen entschieden sich für den SMS-Schutz, der eigentlich die am wenigsten sichere Authentifizierungsmethode ist, da er anfällig für Hijacking- und Phishing-Angriffe ist.
Obwohl die Daten selbst nicht außergewöhnlich sind, ist dieses Maß an Transparenz großartig, da es einen wichtigen Bezugspunkt für verbesserungswürdige Bereiche darstellt. Es signalisiert der Branche auch, dass viel getan werden muss, um die Verbraucher einzubeziehen und mehr Konten zu schützen.
Fokus auf User Experience (UX):
Der Verzicht auf alte (2FA) Authentifizierungsmethoden ist nicht nur eine Frage der Sicherheit. Die Benutzererfahrung, die durch Faktoren wie One Time Password (OTPs) und Push-Benachrichtigungen bereitgestellt wird, ist verwirrend, stressig und beeindruckend. E-Commerce ist einer der Sektoren, in denen die Folgen einer schlechten Benutzererfahrung schwerwiegend für die Nutzung von Diensten und damit für die Ergebnisse des Unternehmens sind. Forrester schätzt, dass Marken jährlich mehr als 18 Milliarden US-Dollar verlieren könnten, wenn der Einkaufswagen aufgegeben wird, was zum großen Teil auf Schwierigkeiten mit dem Authentifizierungsprozess während des Bezahlvorgangs zurückzuführen ist.
Damit die MFA von den Verbrauchern voll angenommen wird, muss sie so nahtlos wie möglich sein. Schließlich ist die Zurückhaltung bei der Bereitstellung größtenteils darauf zurückzuführen, dass CSPs die Sicherheit mit dem Kundenerlebnis in Einklang bringen müssen. Biometrie und Sicherheitsschlüssel sind im Allgemeinen zwei sehr einfache Authentifizierungsmethoden, mit denen Benutzer von erhöhter Sicherheit profitieren können, ohne das Anmeldeerlebnis zu beeinträchtigen.
Neues annehmen:
Wie Microsoft erklärte, ist jede Form von MFA besser als ein einzelnes Passwort für den Kontoschutz. Allerdings sind nicht alle Zwei-Faktor-Authentifizierungsgeräte gleich. Neue Malware ist jetzt leicht online verfügbar, um MFAs (insbesondere SMS-OTPs) zu umgehen, was zeigt, dass diese Arten von Angriffen nicht nur raffinierter, sondern auch häufiger sind. Diese Programme haben sogar einen Support-Service – leider war es nicht einfach, ein Hacker zu sein.
Der Punkt ist, dass jedes Einmalpasswort – ob es aus einer Textnachricht oder einer Authentifizierungs-App stammt – ein „geteiltes Geheimnis“ bleibt. Das bedeutet, dass sie immer noch anfällig für Manipulationen durch Hacker, Kreuzungsangriffe, Neustarts und Social Engineering sind. Es ist also an der Zeit, dass CSPs über diese „traditionellen“ Authentifizierungsmethoden hinausgehen und den Multi-Family-Ansatz (MFA) basierend auf dem Tenure-Faktor nutzen. Zum Beispiel Biometrie oder Sicherheitsschlüssel auf dem Gerät: Da sie greifbar sind und dem Benutzer bei der Authentifizierung vorliegen müssen, können sie einfach nicht auf die gleiche Weise gespooft oder gehackt werden.
Die Branche hat große Fortschritte bei der Innovation und dem Einsatz von Multi-Faktor-Authentifizierung gemacht. Wir können hier nicht aufhören. Da sich die Debatte um MFA von Notwendigkeit und Machbarkeit zu Praktikabilität und Aktualität verlagert, müssen CSPs sorgfältig über ihre Validierungs-Roadmap nachdenken. Die Konzentration auf Taktiken wird von entscheidender Bedeutung sein, da wir mehr Erwartungen in Bezug auf Benutzerfreundlichkeit und Popularisierung neuer Authentifizierungsmethoden sehen werden.
Glücklicherweise unterstützen die meisten Geräte heutzutage – und fast jedes Gerät, das sofort einsatzbereit ist, während Sie dies lesen – die FIDO-Authentifizierung. Dies bedeutet, dass Milliarden von Menschen auf der ganzen Welt eine Alternative zu Passwörtern zur Verfügung steht. Für Cloud-Computing-Dienstanbieter, die bestrebt sind, die Mainstream-MFA-Akzeptanz voranzutreiben, kann die Nutzung der integrierten Fähigkeiten der Hardware die Reise einfacher machen, als es scheint.