Sicherheit wird für Unternehmen immer wichtiger. Informationswerte, User accounts, Identitäten usw. sollen vor Angreifern geschützt werden. Schnell stolpert man dabei über Begriffe wie SSO, 2FA oder MFA. Dies spiegelt sich im Berateralltag wider. Hierbei wird man oft gefragt, ob eine Single Sign On (SSO) Lösung nicht gleichbedeutend mit einer Multi-Faktor-Authentifizierung (MFA) oder einer Zwei-Faktor-Authentifizierung (2FA) ist. Der folgende Artikel beleuchtet die zwei Protokolle genauer und zeigt die Unterschiede auf.
Der Inhalt im Überblick
Funktionsweise des Single Sign-On (SSO)
Single Sign-On (SSO) ist ein Anmeldeprozess, welcher es den Mitarbeitenden erlaubt auf verschiedene Applikationen mit einem einzigen „Set“ an Zugangsdaten von einem Identity Provider aus zuzugreifen. Hierbei wird eine einzige (single) sichere Login Plattform für die Mitarbeitenden kreiert, von der aus sie alle Applikationen aus erreichen können.
Ein Beispiel aus dem Privatleben erläutert dies sehr gut. Stellen Sie sich vor, Sie möchten über eine Online Plattform etwas bestellen. Anstatt sich auf dieser Website einen Account anzulegen, bietet die Seite an, dass Sie sich über einen Drittanbieter wie ein soziales Netzwerk oder einen Onlineversandhändler einloggen und auch bezahlen können. Dieser Drittanbieter übernimmt nun mehrere Aufgaben, wie die Überprüfung der Identität des Mitarbeitenden.
Sobald nun die Anmeldedaten in der Applikation eingegeben werden, meldet der Drittanbieter zurück, ob diese korrekt sind und es sich um die Anmeldedaten des Mitarbeitenden handeln. Hierbei wird eine, auf asymmetrische Kryptoalgorithmen basierende, elektronische Signatur verwendet. Durch diese Signatur ist es der Applikation möglich zu überprüfen, ob die Informationen tatsächlich von dem gewählten Drittanbieter stammen. Sollte die Prüfung erfolgreich durchlaufen werden, erhalten die Mitarbeitenden Zugriff auf die Applikation. Dies alles geschieht, ohne dass diese erneut Zugangsdaten erstellen müssen.
Vorteile:
- Sehr komfortabel
- Man muss sich nur ein Set an Anmeldeinformationen merken
Nachteile:
- Sollte der zentrale Account kompromittiert werden, sind alle Accounts ebenfalls betroffen
- Die Menge an Daten die gesammelt und ausgewertet werden, steigt.
- Ein vertrauenswürdiger Drittanbieter wird benötigt
Tipp:
- Durch die Kombination von SSO mit MFA erhöht sich die Sicherheit.
Funktionsweise der Multi-Faktor-Authentifizierung (MFA)
Die Multi-Faktor-Authentifizierung bietet wie die Zwei-Faktor-Authentifizierung (2FA) den Mitarbeitenden die Möglichkeit sich unter Verwendung von zwei oder mehreren Faktoren zu identifizieren.
Um die Kompromittierung eines zentralen Accounts zu erschweren, besteht die Möglichkeit weitere Faktoren zur Anmeldung hinzufügen. Hierbei wird beispielsweise die Passworteingabe um einen zweiten Faktor erweitert. Vor allem Hardwaregestützte Verfahren bieten hier ein hohes Maß an Sicherheit und können zusätzlich zu einem bereits starken Passwort verwendet werden.
Im Grunde beginnt eine Authentifizierung unter Verwendung von mehreren Faktoren wie eine Authentisierung mit nur einem Faktor, zum Beispiel ein Passwort. Die Mitarbeitenden geben ihre Benutzerkennung sowie das gewählte Passwort ein. Die Applikation prüft daraufhin die Richtigkeit des eingegebenen Passworts. Sollte dies korrekt eingegeben worden sein, führt dies jedoch nicht dazu, dass dem Mitarbeitenden der Zugang gewährt wird, sondern dass dieser die Möglichkeit bekommt einen weiteren Faktor einzugeben.
Oftmals greift hierbei das MFA System nach der Passwortabfrage auf externe Systeme zurück, um die gewünschte mehrstufige Überprüfung zu ermöglichen. Dies kann beinhalten, dass ein Bestätigungscode an ein weiteres Gerät gesendet wird, wie zum Beispiel an das Smartphone des Mitarbeitenden. Andere Beispiele für einen weiteren Faktor wären biometrische Kennungen (z.B. Fingerabdruck), ein USB-Token oder eine Chipkate. Erst wenn dieser weitere Faktor ebenfalls überprüft und als korrekt eingestuft wurde erhält der Mitarbeitende Zugang zu der Applikation bzw. Zugriff auf die gewünschten Daten.
Die verwendeten Faktoren müssen aus verschiedenen Kategorien stammeln. Bei diesen Kategorien handelt es sich um:
- Geheimes Wissen (z.B. Passwort, PIN, Beantwortung einer Frage, …)
- Physischer Besitz (z.B. TAN – Generator, Chipkarte, Sensor, SecurID Token, …)
- Biometrie (z.B. Fingerabdruck, Face ID, …)
Vorteile:
- Sichere Authentifizierungslösung
- Wird oftmals angeboten und muss nur durch den Nutzer aktiviert werden
- Sollte ihr Passwort oder PIN kompromittiert werden, sind die Daten trotzdem gesichert.
Nachteile:
- Ein komplexerer Anmeldevorgang
- Usability leidet
- Sollte ein besitzbasierter Faktor kaputt gehen oder entwendet werden, kann der Zugang zur entsprechenden Applikation ebenfalls verloren gehen.
Tipp:
- Es besteht oft die Möglichkeit einen weiteren „zweiten Faktor“ für diese Möglichkeit zu erstellen um im Falle des Verlusts oder der Beschädigung weiterhin die Authentifizierung zu ermöglichen.
Die Qual der Wahl
Beide Protokolle haben ihre Vor- und Nachteile. SSO ist ein sehr oft genutztes Protokoll. Es ist einfach zu nutzen und sehr bequem. Birgt jedoch Risiken, welche durch die Kombination mit 2FA oder MFA reduziert werden können. 2FA ist sicherer als SSO, da es einen zweiten Faktor zur Authentisierung benötigt.
MFA ist ähnlich wie 2FA nutzt jedoch mehr als zwei Faktoren zur Authentisierung. Dies kann eine Kombination aus verschiedenen Geräten und Technologien (z.B. App, separate E-Mail Adresse, Hardware Key, …) bestehen.
Zusammengefasst bieten alle Protokolle verschiedene Level an Sicherheit für ihre Informationswerte. Die Entscheidung welches Protokoll verwendet werden soll, sollte wohl überlegt sein. Hierbei können die Kosten, das gewünschte Sicherheitsniveau und die Userfreundlichkeit gegenübergestellt werden. Es sollte jedoch berücksichtigt werden, dass die Verwendung von 2FA oder MFA das Sicherheitsniveau in ihrem Unternehmen enorm erhöht.