Azure Multi-Faktor-Authentifizierung (MFA) - Warum und wie?

netlogix
von netlogix
21.07.2022
02:30 MIN

Schon lange gibt es die Möglichkeit das Benutzerkonto und somit die Identität durch einen weiteren Faktor bei der Authentifizierung zu schützen. Doch warum wird eine zusätzliche Prüfung benötigt?

Image: © _Danoz - stock.adobe.com

© Kt Stock - stock.adobe.com

Was sind die Gründe für den Einsatz von Azure MFA?

Durch die stetige Steigerung der Nutzung von Clouddiensten steigt auch die Angriffsfläche. Der Vorteil eines Clouddienstes ist oftmals die Flexibilität. Man kann ihn zu jederzeit, von jedem Ort und von jedem Gerät abrufen. Doch genau in diesem Vorteil liegt auch ein Nachteil. Ein Cloudservice ist für potentielle Angreifer ebenso wie für den Nutzer zu jeder Zeit erreichbar.

Viele Kennwörter sind in der heutigen Zeit leicht durch Dictionary Attacks (Wörterbuchangriffe) zu erraten. Da man sich als Benutzer immer mehr Zugänge merken muss, wird auch gerne mal das gleiche Kennwort für mehrere Dienste benutzt. Denn sind wir mal ehrlich - Wer möchte sich für jedes Forum, Website, Soziales Netzwerk oder jeden Shop ein neues 32-stelliges Kennwort mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen merken? Natürlich gibt es hierfür Passwort Manager Lösungen. Diese Lösungen sind auch sinnvoll und zu empfehlen. Ein weiterer Faktor in der Authentifizierung soll auch nicht bedeuten, dass nur einfache Kennwörter verwendet werden sollen.

Ziel ist es mit der Multi-Faktor-Authentifizierung die Benutzer zusätzlich abzusichern und die Identität des Benutzers zu schützen, eine Kompromittierung zu verhindern und so das Unternehmen und die Daten vor unerlaubten und fremden Zugriffen zu schützen.

Wie funktioniert die Azure MFA?

Bei der Authentifizierung an einem Microsoft 365 Service oder einem an das Azure AD angebundenen Dienst gibt der Benutzer seinen Benutzernamen und sein Kennwort ein. Nach der Validierung und Bestätigung dieser Eingaben durch das Azure AD wird die zusätzliche Authentifizierungsmethode abgefragt, die beim Benutzer hinterlegt ist.

Welche MFA Methoden gibt es?

In der Basisversion des Azure AD werden folgende Methoden für die MFA angeboten:

In der Premium Variante des Azure AD können zusätzlich folgende Methoden verwendet werden:

Kann ich nur eine Methode hinterlegen?

Nein. Ein Benutzer kann mehrere Methoden hinterlegen. Eine Methode wird als Standard definiert, die bei der Authentifizierung standardmäßig verwendet wird. Nehmen wir an, Sie haben die Microsoft Authenticator App und den Telefonanruf auf die Geschäftsrufnummer hinterlegt. Sie sind im Büro und stellen fest, Sie haben Ihr Smartphone zu Hause vergessen, müssen aber die MFA bestätigen. Dann können Sie in der Authentifizierung die Alternative Methode auswählen und bestätigen.

Muss ich die MFA nach der Aktivierung dann immer angeben?

Auch hier ein Nein. Wann die MFA angefordert werden soll kann in der Premium Variante des Azure AD über das Feature Conditional Access gesteuert werden. Aber auch in der Basisvariante lassen sich Ausnahmen definieren.

Gibt es keine leichtere Methode?

Ja, die gibt es. Das Stichwort ist FIDO. FIDO steht für Fast IDentity Online und ist ein neuer Standard, der innerhalb der FIDO Alliance von vielen Herstellern entwickelt wurde.

Bei der Authentifizierung mit einem FIDO2 Sicherheitsschlüssel werden die Anmeldedaten wie Benutzername und Kennwort verschlüsselt auf dem FIDO2 Gerät gespeichert. Der Sicherheitsschlüssel kann ein USB Stick (mit oder NFC Funktionalität) sein oder ein Smartphone. Die Anmeldedaten sind entweder mit einem PIN oder durch Biometrie geschützt und werden erst bei Authentifizierung freigegeben. Eine zusätzliche Bestätigung der MFA ist beim Authentifizierungsprozess nicht notwendig, da der Sicherheitsschlüssel gleichzeitig als 2. Faktor zählt.

Wie bereitet man das Unternehmen für die MFA Authentifizierung vor?

Benötigen Sie Unterstützung bei der Einführung der MFA Authentifizierung oder Antworten auf generelle Fragen? Dann wenden Sie sich gerne an unser Support-Team.

Zu den Kommentaren ()