Multi-Faktor-Authentifizierung

Führt man sich noch einmal vor Augen, dass die Identitäten das neue Perimeter sind, dann wird relativ schnell klar, dass wir Identitäten entsprechend gut schützen müssen. Und ein simples Passwort ist dafür nicht ausreichend. Deswegen geht es in diesem Video um Multi-Faktor-Authentifizierung oder MFA. Bei MFA geht es um eine mehrstufige Authentifizierung. Wir lösen uns also von dem Grundsatz "Benutzername und Passwort ist gleich sicher" und sagen, wir brauchen mehr als eine Verifizierungsmöglichkeit. Und das ist eben etwas, was wir wissen, wie z.B. unser Passwort, aber eben auch etwas, das wir haben, also vielleicht z.B. ein bestimmtes Gerät, ein bestimmter Token, ein bestimmtes USB-Device oder Ähnliches, oder aber etwas, das wir sind, also vielleicht ein Iris-Scan, eine Gesichtserkennung, ein Fingerabdruckscan. Und nur in der Kombination mehrerer Verifizierungsmerkmale wird eben diese mehrstufige Authentifizierung tatsächlich durchgeführt. MFA in Entra ID kann man auf verschiedenen Ebenen einführen. Das Ganze geht über Standardwerte und Standardrichtlinien. Man kann z.B. sagen, wir verpflichten einfach alle Benutzer und Benutzerinnen nach Bedarf zu MFA. Ja, das ist ein bisschen schwammig. Was man auf jeden Fall tun sollte und was auch automatisch passiert, ist, dass wir alle Administratoren und Administratorinnen zur MFA-Verwendung zwingen, denn die halten ja quasi die Schlüssel zu unseren heiligen Hallen in den Händen. Deswegen gilt es, diese Accounts besonders gut zu schützen. Wenn man den höchsten Level an Sicherheit haben will, dann erzwingt man Multi-Faktor-Authentifizierung für alle Nutzenden im Unternehmen. Das hat natürlich aber auch einen Impact auf das tägliche Arbeiten unserer Mitarbeiter und Mitarbeiterinnen. Schauen wir uns mal die Authentifizierungsmethoden an, die bei MFA eine Rolle spielen können. Also, was wir bereits kennen, ist natürlich ein Kennwort, also "Passwort1234567", "Test123", wie auch immer, das kennen wir, das ist aber nicht sicher. Denn wo landen Kennwörter, wenn wir sie uns merken müssen? Irgendwo als Zettel am Bildschirm, unter der Tastatur. Oder man sagt sie dann doch mal dem Kollegen. Und dann sind sie eben nicht mehr sicher. Eine Kombination aus Kennwort und SMS oder Sprachanruf war der Anfang von Multi-Faktor-Authentifizierung. Der große Nachteil bspw. an SMS ist, dass diese oftmals im Display schon angezeigt werden, obwohl das Device noch gar nicht entsperrt ist, d.h., damit auch nur bedingt sicher. Und das Handy in die Hand bekommen, ist heutzutage auch nicht mehr das große Problem. Und genauso kann ich eben Telefonanrufe, also Sprachanrufe, an den meisten Telefonen annehmen, ohne dass ich das Gerät entsperre. Und damit ist so ein Faktor zwar besser, aber immer noch nicht richtig gut. Die nächstbessere Option ist es, ein Kennwort zu benutzen, gemeinsam mit der Authenticator-App, wo es eine Push-Notification drauf gibt. Oder ich mache das Ganze dann über Software- oder Hardware-Tokens, wo ich also in der Lage bin, tatsächlich aktiv zu interagieren. Und ich brauche entweder diesen Token als Software oder Hardware, oder ich brauche die Authenticator-App und die bekomme ich nun mal erst, wenn mein Device entsperrt ist. Optimal ginge das Ganze noch, indem wir es dann auf die höchste Sicherheitsstufe heben, indem wir bspw. Windows Hello in unserem Windows-Device benutzen oder FIDO2-USB-Devices als Sicherheitsschlüssel oder das Ganze z.B. zertifikatsbasierend auf einer Zutrittskarte machen, sodass wir also sicherstellen, dass wir wirklich etwas haben müssen. Je nachdem, für was ich mich hier entscheide, ist es natürlich für meine Nutzer und Nutzerinnen im Tagesverlauf deutlich umständlicher zu arbeiten. Auf der anderen Seite wollen wir es auch nicht zu komfortabel machen und dabei eben mit geringer Sicherheit arbeiten, so wie hier bei den Kennwörtern. Schauen wir uns einfach mal im Portal an, wo sich die Multi-Faktor-Authentifizierung versteckt. Das Ganze finden wir hier im Entra ID. Wenn wir unter den Bereich Sicherheit wechseln, dann finden wir hier den Punkt Multi-Faktor-Authentifizierung. Und da ein bisschen Obacht: Das ist eine alte Konfiguration, denn ursprünglich hat man Multi-Faktor-Authentifizierung mal pro User aktiviert. D.h., man ging dann auch hier in diese Konfiguration und konnte dann zusätzliche Einstellungen vornehmen zum Thema Multi-Faktor-Authentifizierung, konnte das wirklich pro User aktivieren und einstellen, wer Multifaktor nutzen soll und wer das nicht nutzen soll. Da gab es also hier diese Benutzerübersicht und dann hätte ich hier eben sagen können, so, für diesen Nutzer möchte ich das Ganze jetzt aktivieren oder ich mache das für mehrere. Mittlerweile ist man davon abgekommen, weil das Ganze eben sehr unhandlich ist. Ich müsste ja auch die Leute darauf hinweisen. Und das ist ja eine global-galaktische Einstellung. Ich möchte das aber meist etwas differenzierter machen. Deswegen wird heute Multifaktor in der Regel über die Funktion "Bedingter Zugriff" oder "Conditional Access" zugewiesen. Und das Ganze schauen wir uns im nächsten Video an.