- Schnelle Links
- Multi-Faktor-Authentifizierung
- Active Directory MFA
- Endpunkt-Multifaktorauthentifizierung
- Windows-Anmeldung MFA
- Zwei-Faktor-Authentifizierung
- Bedingter Zugang
- Offline-MFA
- FIDO2 MFA
- Passwortlose Authentifizierung
- MFA für VPN-Anmeldungen
- MFA für OWA-Anmeldungen
- MFA für Microsoft 365-Benutzer
- Gerätebasierte MFA
- MFA für Cloud-Anwendungen
- Adaptive MFA
- Passwortverwaltung
- Passwort zurücksetzen per Selbstbedienung
- Selbstbedienungs-Konto freischalten
- Benachrichtigungen über den Ablauf von Passwörtern
- Passwort-Synchronisierung
- Durchsetzung von Passwortrichtlinien
- Webbasierte Domain-Passwortänderung
- Aktualisierung der im Cache gespeicherten Anmeldeinformationen
- Passwortverwaltung und Sicherheit
- Einmalige Anmeldung
- Befähigung zur Fernarbeit
- Selbstbedienung für Unternehmen
- Null Vertrauen
- Integrationen
- Sicherheit
Warum ist 2FA erforderlich?
In der heutigen digitalen Landschaft erfordert die Sicherung des Zugriffs auf Unternehmensdaten mehr als nur sichere Passwörter. Lösungen wie die Zwei-Faktor-Authentifizierung von Active Directory (auch bekannt als Dual-Faktor-Authentifizierung oder 2FA) – eine wichtige Funktion innerhalb der Multi-Faktor-Authentifizierung (MFA) – sind heute für Unternehmen jeder Größe unverzichtbar. Angesichts immer raffinierterer Cyber-Bedrohungen reicht es nicht mehr aus, sich allein auf Passwörter zu verlassen, um sensible Daten und kritische Systeme zu schützen. Durch Hinzufügen einer zusätzlichen Sicherheitsebene mittels Zwei-Faktor-Authentifizierung oder zweistufiger Verifizierung zwingen Unternehmen Eindringlinge dazu, nicht nur ein, sondern zwei Elemente zu kompromittieren, bevor sie Zugriff erhalten.
Passwörter können nicht mehr als einziger zuverlässiger Faktor für die Authentifizierung angesehen werden. Betrachten Sie die folgenden Statistiken:
- Verizon gibt an, dass 82 % aller Datenverstöße auf menschliche Schwachstellen wie Social Engineering, Fehler und Missbrauch zurückzuführen sind.
- Laut Passwortstatistiken von Dataprot verwenden 51 % der Menschen dasselbe Passwort für berufliche und private Konten. Darüber hinaus haben 57 % der Menschen, die bereits Opfer von Phishing-Angriffen geworden sind, ihre Passwörter immer noch nicht geändert.
- Viele berüchtigte Cyberangriffe auf große Industriezweige, wie beispielsweise Colonial Pipeline und Ireland’s Health Service Executive, begannen mit einem einzigen offengelegten Passwort.
Ohne Zwei-Faktor- oder Zwei-Schritt-Verifizierung stellt ein einziges schwaches Passwort eine große Schwachstelle dar. Die Zwei-Faktor-Authentifizierung behebt dieses Problem, indem sie neben dem Passwort eine zweite Validierung – wie z. B. ein OTP, eine Push-Benachrichtigung oder einen biometrischen Scan – vorschreibt, wodurch das Risiko erheblich minimiert und die Sicherheit Ihres Unternehmens erhöht wird.
Was ist 2FA-Müdigkeit?
2FA-Müdigkeit bezeichnet die Tendenz von Benutzern, durch häufige Zwei-Faktor-Authentifizierungsanfragen unempfindlich zu werden. Diese Müdigkeit tritt besonders häufig bei Methoden auf, die Push-Benachrichtigungen auslösen oder wiederholte Codeeingaben im Laufe des Tages erfordern. Das Sicherheitsrisiko: Benutzer, die unter 2FA-Müdigkeit leiden, beginnen möglicherweise, Authentifizierungsaufforderungen ohne genaue Prüfung zu genehmigen oder versuchen, das System aus Bequemlichkeit zu umgehen, was Angreifer ausnutzen können – bekannt als Push-Müdigkeitsangriffe, bei denen Angreifer Benutzer mit Genehmigungsanfragen bombardieren, bis eine davon akzeptiert wird.
Bewährte Vorgehensweise: Weisen Sie Benutzer an, jede Anfrage sorgfältig zu prüfen, und bieten Sie verschiedene Authentifizierungsmethoden wie Biometrie oder Hardware-Schlüssel an, um die Sicherheit zu gewährleisten, ohne die Benutzerfreundlichkeit zu beeinträchtigen.
Arten von 2FA
Heutzutage gibt es verschiedene Arten von 2FA-Methoden, die jeweils ein unterschiedliches Verhältnis zwischen Sicherheit und Komfort bieten. ADSelfService Plus unterstützt eine Vielzahl von Methoden zur Zwei-Faktor-Authentifizierung – darunter sowohl grundlegende als auch erweiterte Optionen –, um den unterschiedlichen Anforderungen von Unternehmen gerecht zu werden.
Hier sind die gängigsten Arten von 2FA:
- SMS-2FA (SMS-Zwei-Faktor-Authentifizierung): Bei der Anmeldung wird ein einmaliger OTP per SMS an das registrierte Mobilgerät des Benutzers gesendet.
- Zeitbasierter OTP (TOTP): Wird über Apps wie Google Authenticator, Microsoft Authenticator oder Zoho OneAuth generiert.
- Push-Benachrichtigungs-Authentifizierung: Bei einem Anmeldeversuch wird eine Benachrichtigung an die mobile App des Benutzers gesendet, die mit einem Fingertipp bestätigt werden muss.
- E-Mail-basierte Verifizierung: Ein Sicherheitscode wird per E-Mail an den Benutzer gesendet, um dessen Identität zu bestätigen.
- Biometrische Authentifizierung: Umfasst Fingerabdruck- oder Gesichtserkennung als zweiten Faktor.
- Hardware-Authentifikatoren: Umfasst YubiKey, RSA SecurID oder Smartcards für eine sichere physische Authentifizierung.
- Sicherheitsfragen: Benutzer beantworten vorkonfigurierte Fragen, um ihre Identität zu bestätigen.
SMS-2FA
SMS-2FA ist eine einfache, weit verbreitete Authentifizierungsmethode, die einen zweiten Schritt zur Identitätsprüfung per SMS hinzufügt. So funktioniert sie mit ADSelfService Plus:
- Ein Benutzer meldet sich mit seinem Passwort an.
- ADSelfService Plus sendet per SMS einen sicheren OTP an die registrierte Telefonnummer des Benutzers.
- Der Benutzer gibt den OTP ein, um die Anmeldung abzuschließen.
Schwachstellen von SMS 2FA
SMS 2FA bietet grundlegenden Komfort, aber es ist wichtig, sich seiner Schwachstellen bewusst zu sein:
- SIM-Swapping: Angreifer manipulieren Mobilfunkbetreiber, um die Nummer des Opfers auf ihre eigene SIM-Karte zu übertragen und so den SMS-Code abzufangen.
- SMS-Abfangen: Malware oder betrügerische Apps können eingehende Nachrichten abfangen.
- Phishing-Risiko: Benutzer können dazu verleitet werden, aktuelle SMS-Codes auf betrügerischen Websites einzugeben, wodurch Angreifern Echtzeit-Zugriff gewährt wird.
- Netzwerkschwächen: SMS sind durchgehend unverschlüsselt, wodurch Daten über unsichere Netzwerke potenziell offengelegt werden können.
Bewährte Vorgehensweise: Kombinieren Sie SMS-2FA mit stärkeren Alternativen (wie Authentifizierungs-Apps oder Hardware-Tokens) für kritische Systeme und klären Sie die Benutzer über Bedrohungen wie Phishing und SIM-Swapping auf.
Gängige Techniken zum Umgehen der 2FA
Angreifer suchen ständig nach neuen Möglichkeiten, die Zwei-Faktor-Authentifizierung zu umgehen. Zu den gängigsten Techniken zum Umgehen der 2FA gehören:
- Phishing-Proxys: Gefälschte Websites fangen echte Passwörter und 2FA-Codes ab und leiten sie in Echtzeit an die legitime Website weiter.
- Man-in-the-Middle-Angriffe (MitM): Kompromittierte Browser oder Netzwerke werden verwendet, um Authentifizierungstoken zu erfassen und wiederzuverwenden.
- SIM-Swapping und Social Engineering: Wie bereits erwähnt, ermöglichen sie es Angreifern, SMS- oder anrufbasierte 2FA-Codes zu erhalten.
- Malware: Kompromittierte Geräte können Authentifizierungscodes lesen oder abfangen, die per SMS, E-Mail oder sogar App-Benachrichtigungen übermittelt werden.
- Ausnutzen der 2FA-Müdigkeit: Angreifer können die Überlastung durch Push-Benachrichtigungen ausnutzen und mehrere Anfragen senden, bis ein Benutzer versehentlich oder unachtsam eine davon genehmigt.
Bewährte Verfahren: Schulen Sie Benutzer darin, Phishing-Versuche zu erkennen, setzen Sie eine starke Authentifizierung mit App-basierten oder Hardware-Tokens für sensible Konten durch und implementieren Sie adaptive Risikorichtlinien, die bei anomalem Anmeldeverhalten eine zusätzliche Überprüfung auslösen.
Native AD-Tools vs. ADSelfService Plus für 2FA
Native Active Directory-Tools bieten nur begrenzte oder gar keine integrierte Zwei-Faktor-Authentifizierung, während ADSelfService Plus eine funktionsreiche, zentralisierte und einfach zu verwaltende Zwei-Faktor-Authentifizierungslösung für umfassende Unternehmensanforderungen bietet.
| Funktion | Native AD-Tools | ADSelfService Plus |
|---|---|---|
| 2FA/MFA für Windows-/macOS-/Linux-Anmeldungen | Nicht nativ unterstützt | Ja, mehrere Methoden |
| 2FA für VPN, OWA, RDP, SSPR, Offline | Nein (erfordert Add-ons) | Ja, sofort einsatzbereit |
| Vielzahl von Authentifizierungsmethoden | Begrenzt (hauptsächlich Smartcard) | Über 20 Optionen (biometrisch, TOTP usw.) |
| Zentralisierte Richtlinienverwaltung | Nein | Ja, über die einheitliche Verwaltungskonsole |
| Selbstständige Registrierung durch Benutzer | Nein | Ja |
| Unterstützung bei der Einhaltung gesetzlicher Vorschriften | Teilweise | Vollständig, mit Prüfpfaden |
Native Tools bieten für die meisten Szenarien keine integrierte Zwei-Faktor-Authentifizierung. Für Unternehmen, die nach der besten 2FA-Lösung suchen, bietet eine dedizierte Plattform wie ADSelfService Plus eine fortschrittliche, einfach zu verwaltende und hochgradig konfigurierbare Multi-Methoden-Abdeckung.
Wie funktioniert die Zwei-Faktor-Authentifizierung mit ADSelfService Plus?
Der Zwei-Faktor-Authentifizierungsprozess von ADSelfService Plus funktioniert sowohl für Anwendungs- als auch für Endpunktanmeldungen auf ähnliche Weise. Jedes Mal, wenn ein Benutzer Zugriff auf eine bestimmte Ressource anfordert, muss er zunächst seine Identität mit einem primären Authentifizierungsfaktor bestätigen, bei dem es sich in der Regel – aber nicht immer – um ein Passwort handelt. Nach Abschluss der primären Authentifizierung wird der Benutzer aufgefordert, eine sekundäre Authentifizierung durchzuführen. Nach Abschluss der sekundären Authentifizierung erhalten Benutzer Zugriff auf die jeweilige Ressource.
Nachfolgend finden Sie eine Darstellung der Funktionsweise der Zwei-Faktor-Authentifizierung in ADSelfService Plus.
Umfassende 2FA-Lösung
ManageEngine ADSelfService Plus bietet eine umfassende, kontextbezogene Endpunkt-MFA, um alle Kontaktpunkte in Ihrem Unternehmen mit fortschrittlichen Authentifizierungsmethoden wie Biometrie, Hardware-Tokens und TOTPs zu sichern.
2FA für den Maschinenzugriff
Sorgen Sie für einen sicheren Zugriff auf Windows-, macOS- und Linux-Maschinen, indem Sie die Zwei-Faktor-Authentifizierung von Active Directory für Benutzeranmeldungen verwenden.
2FA für den Maschinenzugriff
Allow users to securely access IT resources through a VPN after a stringent authentication flow with advanced enterprise authentication methods.
2FA für OWA
Sorgen Sie für einen sicheren Zugriff auf OWA-Konten, indem Sie die Zwei-Faktor-Authentifizierung von Active Directory mit starken Faktoren bei OWA-Anmeldungen einsetzen.
Offline-2FA
Sichern Sie Ihre Offline-Remote-Benutzer, indem Sie die Active Directory-Zwei-Faktor-Authentifizierung für Offline-Anmeldungen bei Windows- und macOS-Computern aktivieren.
Computerzentrierte 2FA
Setzen Sie 2FA auf Computerebene durch, sodass jeder Benutzer, der sich bei einem bestimmten Computer anmeldet, seine Identität überprüfen muss, unabhängig von individuellen Benutzerrichtlinien oder dem Registrierungsstatus.
2FA für Unternehmensanwendungen
Regulieren Sie den Zugriff auf Unternehmensanwendungen über SSO mithilfe starker Authentifikatoren wie FIDO-Passkeys, YubiKey und biometrischer Authentifizierung für Active Directory-Benutzer.
2FA für SSPR
Ermöglichen Sie Benutzern die Durchführung einer Active Directory-Selbstbedienungs-Passwortzurücksetzung (SSPR) und die Selbstbedienungs-Kontosperrung erst nach Überprüfung der Benutzeridentität mithilfe der von SSPR unterstützten Zwei-Faktor-Authentifizierungstypen.
Wenden Sie bestimmte Authentifizierungsmethoden auf unterschiedliche Benutzerrichtlinien an.
Was macht die beste 2FA-Lösung aus?
Die beste 2FA-Lösung bietet ein ausgewogenes Verhältnis zwischen robuster Sicherheit, Benutzerfreundlichkeit und Flexibilität. Zu den wichtigsten Funktionen gehören:
- Breite Palette an Authentifizierungsmethoden: Unterstützung für SMS, Authentifizierungs-Apps, Biometrie, Hardware-Token und weitere Kontrollen.
- Nahtlose Integration: Funktioniert über Endgeräte (Windows, macOS, Linux), VPNs, Webanwendungen und Self-Service-Workflows hinweg.
- Zentrale Verwaltung: Einheitliche Richtlinien und Registrierung für alle Benutzer.
- Benutzer-Self-Service: Einfache Registrierung und Fehlerbehebung reduzieren den IT-Aufwand.
- Starke Compliance-Funktionen: Audit-Protokolle und Berichte helfen bei der Einhaltung von Standards wie DSGVO, HIPAA und NIST.
ADSelfService Plus ist ein Beispiel für die beste 2FA-Lösung, da es über 20 Authentifizierungsmethoden, detaillierte Richtlinienkontrollen und umfassende Unterstützung für Unternehmensanforderungen bietet.
Die wichtigsten Vorteile der Implementierung von 2FA mit ADSelfService Plus
Die Aktivierung der Zwei-Faktor-Authentifizierung mit ADSelfService Plus bringt zahlreiche Vorteile für Ihr Unternehmen mit sich und geht direkt auf häufige Herausforderungen im Bereich der IT-Sicherheit ein:
- Unübertroffene Sicherheit: Reduziert das Risiko aller passwortbasierten Angriffe, einschließlich Phishing, Brute-Force-Angriffen und Credential Stuffing, drastisch, indem kompromittierte Anmeldedaten ohne den zweiten Faktor unbrauchbar gemacht werden.
- Minderung von Insider-Bedrohungen: Bietet eine wichtige Sicherheitsebene gegen kompromittierte interne Konten, versehentliche Fehlkonfigurationen oder böswillige Insider, die versuchen, ihre Berechtigungen zu erweitern.
- Schutz kritischer Ressourcen: Schützt sensible Daten, geschäftskritische Anwendungen und Systeme, die in Ihre AD-Infrastruktur integriert sind und von dieser abhängig sind.
- Flexible Authentifizierungsmethoden: Bietet Unterstützung für eine Vielzahl von Faktoren, darunter Biometrie, Push-Benachrichtigungen, zeitbasierte Einmalpasswörter (TOTP), Sicherheitsschlüssel (z. B. YubiKey) und mehr.
- Adaptive Sicherheitsrichtlinien: Implementieren Sie bedingte Zugriffsrichtlinien basierend auf dem Standort des Benutzers, der Vertrauenswürdigkeit des Geräts oder dem Zeitpunkt des Zugriffs und fügen Sie so eine intelligente Verteidigungsebene hinzu.
Die Integration der Zwei-Faktor-Authentifizierung mit der richtigen Technologiekombination gilt weithin als Goldstandard für Identitätssicherheit. Durch den Einsatz der besten 2FA-Lösung stellen Sie nicht nur die Compliance sicher, sondern auch dauerhafte Sicherheit für Ihr Unternehmen und Ihre Benutzer.
Citations:
- Verizon Data Breach Investigations Report, 2023
- Dataprot: Password Statistics, 2022
- Public reporting on Colonial Pipeline and Ireland’s HSE cyber incidents
FAQs
Ja, die Implementierung einer Zwei-Faktor-Authentifizierung mit starken Authentifizierungsfaktoren wie Biometrie und Smartcards bietet im Vergleich zur herkömmlichen Methode mit Benutzername und Passwort einen besseren Schutz vor modernen Cyberangriffen.
ADSelfService Plus vereinfacht die Konfiguration der 2-Faktor-Authentifizierung für Administratoren durch eine umfangreiche, benutzerfreundliche Konsole. Damit können Sie unterschiedliche 2FA-Abläufe für verschiedene Gruppen oder Abteilungen in Ihrer Organisation einrichten, d. h. Sie können spezifische 2FA-Methoden für privilegierte Konten in Windows Active Directory konfigurieren. Sie können die Anzahl der Authentifikatoren auswählen, mit denen Endbenutzer jede Aktivität verifizieren müssen, z. B. Self-Service, Anmeldungen bei Anwendungen und Anmeldungen an Endpunkten. ADSelfService Plus macht den 2FA-Registrierungsprozess sowohl für Benutzer als auch für Administratoren zum Kinderspiel.
Nein, für die Zwei-Faktor-Authentifizierung in Active Directory sind zusätzliche Tools wie die NPS-Erweiterung oder andere Lösungen von Drittanbietern erforderlich.
Ja, mit ADSelfService Plus kann die Zwei-Faktor-Authentifizierung in Active Directory für lokale und Remote-Anmeldungen aktiviert werden.
Ja, ADSelfService Plus lässt sich für 2FA in das lokale Active Directory integrieren.
Ja. Beide Begriffe beziehen sich auf das Hinzufügen zusätzlicher Authentifizierungsebenen zu Active Directory-Anmeldungen. Während die Zwei-Faktor-Authentifizierung von Active Directory eine Untergruppe von AD MFA ist, die neben Benutzername und Passwort eine zusätzliche Authentifizierungsebene erfordert, kann AD MFA zwei oder mehr Authentifizierungsebenen umfassen.
Höhepunkte of ADSelfService Plus
Kennwort-SB-Service
Befreit Active Directory-Nutzer von langatmigen Helpdesk-Anrufen, da Kennwörter und Konten auch ohne fremde Unterstützung rückgesetzt oder freigeschaltet werden können. Problemlose Kennwortänderung für Active Directory-Nutzer mit der „Kennwort ändern“-Konsole von ADSelfService Plus.
Eine Identität mit Einmalanmeldung
Genießen Sie in nahtlosen Ein-Klick-Zugriff auf mehr als 100 Cloud-Applikationen. Mit Einmalanmeldung für Unternehmen können Nutzer all ihre Cloud-Applikationen mit ihren Active Directory-Anmeldeinformationen abrufen. Dank ADSelfService Plus!
Kennwort-/Konto-Ablaufbenachrichtigung
Benachrichtigen Sie Active Directory-Nutzer über bevorstehenden Kennwort-/Kontoablauf durch Zustellung solcher Kennwort-/Kontoablaufbenachrichtigungen per E-Mail.
Kennwortsynchronisierung
Synchronisieren Sie Änderungen von Windows Active Directory-Nutzerkennwörtern/-konten automatisch über mehrere Systeme hinweg, einschließlich Office 365, G Suite, IBM iSeries und mehr.
Erzwingung von Kennwortrichtlinien
Sorgen Sie mit ADSelfService Plus für starke Kennwörter, die zahlreichen Hackerangriffen standhalten – zwingen Sie Active Directory-Nutzer durch Anzeigen von Kennwortkomplexitätsanforderungen, richtlinienkonforme Kennwörter zu verwenden.
Verzeichnis-Selbstaktualisierung und Unternehmensweite Suche
Ein Portal, über das Active Directory-Nutzer ihre Daten auf den neuesten Stand bringen können, das eine Schnellsuche zum Einholen von Informationen über Kollegen mit Suchschlüsseln wie der Telefonnummer des Kollegen bietet.