Als Managed Services Provider (MSP) ist Cybersicherheit nie weit entfernt. Jüngste Forschungsergebnisse schätzen, dass die Schäden durch Cyberkriminalität bis 2021 erstaunliche 6 Billionen US-Dollar pro Jahr erreichen werden, gegenüber 3 Billionen US-Dollar im Jahr 2015. Um diese Kosten für Ihre Kunden so gering wie möglich zu halten, liegt es in Ihrer Verantwortung, Best Practices für die Benutzer- und Netzwerksicherheit nicht nur zu verstehen, sondern auch den relevanten Endbenutzern mitzuteilen. Schließlich verlassen sich Ihre Kunden darauf, dass Ihr Team sie durch die sich ständig weiterentwickelnde IT-Landschaft führt.

Während es derzeit eine Vielzahl von Netzwerkauthentifizierungsmethoden gibt, die bei der Ausführung einer robusten Sicherheitsstrategie helfen, ist die tokenbasierte Authentifizierung bei vielen MSPs beliebt. Durch die Kombination dieses bewährten Prozesses mit anderen umfassenden Sicherheitsmaßnahmen tragen MSPs dazu bei, ihre Kunden vor Sicherheitsverletzungen zu schützen, die ihr Endergebnis — und ihren Ruf — gefährden.

Was ist tokenbasierte Authentifizierung?

Die tokenbasierte Authentifizierung ist nur eine von vielen Webauthentifizierungsmethoden, die verwendet werden, um einen sichereren Verifizierungsprozess zu erstellen. Andere Webauthentifizierungsmethoden umfassen die biometrische Authentifizierung und die Kennwortauthentifizierung. Während jede Authentifizierungsmethode eindeutig ist, fallen alle Methoden unter eine der folgenden drei Kategorien: wissen (etwas, das du weißt), Vererbung (etwas, das du bist) und Besitz (etwas, das du besitzt).

Die Kennwortauthentifizierung fällt in die Kategorie Wissen, da Benutzer sich auf ein Wort oder eine Phrase verlassen, die sie zuvor erstellt haben, um ihre Identität zu überprüfen. Die biometrische Authentifizierung ist ein Beispiel für „etwas, das Sie sind“, da biologische Merkmale wie Fingerabdrücke verwendet werden. Und last but not least gehört die tokenbasierte Authentifizierung in die Kategorie Besitz.

Bei der Token-Authentifizierung müssen Benutzer einen computergenerierten Code (oder Token) abrufen, bevor ihnen der Netzwerkeintritt gewährt wird. Die Token-Authentifizierung wird normalerweise in Verbindung mit der Kennwortauthentifizierung für eine zusätzliche Sicherheitsebene verwendet. Dies wird als Zwei-Faktor-Authentifizierung (2FA) bezeichnet. Das heißt, selbst wenn ein Angreifer erfolgreich einen Brute-Force-Angriff implementiert, um ein vorhandenes Kennwort zu entfernen, muss er auch die Token-Authentifizierungsschicht umgehen. Ohne Zugriff auf das Token wird der Zugriff auf das Netzwerk immer schwieriger. Diese zusätzliche Schicht schreckt Angreifer ab und kann Netzwerke vor potenziell katastrophalen Sicherheitsverletzungen bewahren.

Wie funktionieren Token?

In vielen Fällen werden Token über Dongles oder Keyfobs erstellt, die alle 60 Sekunden nach einem bekannten Algorithmus ein neues Authentifizierungstoken generieren. Aufgrund der Leistung dieser Hardwaregeräte müssen Benutzer sie jederzeit sicher aufbewahren, um sicherzustellen, dass sie nicht in die falschen Hände geraten. Daher müssen Teammitglieder ihren Dongle oder Fob aufgeben, wenn ihre Beschäftigung endet.

Die gängigsten Token-Systeme enthalten Header, Payload und Signatur. Der Header besteht aus dem Payload-Typ sowie dem verwendeten Signaturalgorithmus. Die Nutzlast enthält die Ansprüche, bei denen es sich einfach um Aussagen handelt, die sich auf den Benutzer beziehen. Die Signatur ist genau das, wonach sie sich anhört — die Signatur, mit der bewiesen wird, dass die Nachricht während des Transports nicht gefährdet wurde. Diese drei Elemente arbeiten zusammen, um ein hocheffizientes und sicheres Authentifizierungssystem zu schaffen.

Während diese traditionellen Token-Authentifizierungssysteme noch heute in Kraft sind, hat der Aufstieg von Smartphones die tokenbasierte Authentifizierung einfacher denn je gemacht. Smartphones können jetzt erweitert werden, um als Codegeneratoren zu dienen und Endbenutzern die Sicherheitspasscodes zur Verfügung zu stellen, die erforderlich sind, um jederzeit Zugriff auf ihr Netzwerk zu erhalten. Im Rahmen des Anmeldevorgangs erhalten Benutzer einen kryptografisch sicheren Einmalpasscode, der je nach serverseitigen Einstellungen auf 30 oder 60 Sekunden begrenzt ist. Diese Soft-Token werden entweder von einer Authenticator-App auf dem Gerät generiert oder bei Bedarf per SMS gesendet.

Das Aufkommen der Smartphone-Token-basierten Authentifizierung bedeutet, dass die meisten Mitarbeiter bereits über die Hardware verfügen, um die Codes zu generieren. Dadurch werden Implementierungskosten und Mitarbeiterschulungen auf ein Minimum reduziert, was diese Form der tokenbasierten Authentifizierung für viele Unternehmen zu einer verlockenden Option macht.

Ist die tokenbasierte Authentifizierung sicher?

Mit dem Fortschritt der Cyberkriminellen müssen auch die Schutzpraktiken und -richtlinien, die MSPs einführen, voranschreiten. Aufgrund des zunehmenden Einsatzes von Brute-Force-Angriffen, Wörterbuchangriffen und Phishing-Taktiken zum Abrufen von Benutzeranmeldeinformationen wird immer deutlicher, dass die Kennwortauthentifizierung nicht mehr ausreicht, um Angreifer in Schach zu halten.

Die tokenbasierte Authentifizierung schafft, wenn sie zusammen mit anderen Authentifizierungspraktiken verwendet wird, eine 2FA-Barriere, die selbst den fortschrittlichsten Hacker davon abhält, seine Spuren zu hinterlassen. Da Token nur von dem Gerät abgerufen werden können, das sie erzeugt — sei es ein Schlüsselanhänger oder ein Smartphone —, gelten Token-Autorisierungssysteme als hochsicher und effektiv.

Aber trotz der vielen Vorteile, die mit einer Authentifizierungs-Token-Plattform verbunden sind, besteht immer eine geringe Risikowahrscheinlichkeit. Während Smartphone-basierte Token unglaublich bequem zu verwenden sind, führen Smartphones auch potenzielle Schwachstellen ein. Token, die als Texte gesendet werden, sind riskanter, da sie während des Transports abgefangen werden können. Wie bei anderen Hardwaregeräten können auch Smartphones verloren gehen oder gestohlen werden und in den Griff von Personen mit gefährlichen Absichten geraten.

Bewährte Methoden für die tokenbasierte Authentifizierung

Die Implementierung einer robusten Authentifizierungsstrategie ist entscheidend, wenn Sie Ihren Kunden helfen möchten, ihre Netzwerke vor einer Sicherheitsverletzung zu schützen. Damit Ihre Strategie jedoch wirklich effektiv ist, müssen alle relevanten Best Practices strikt eingehalten werden. Hier sind einige Schlüsselfaktoren, die Sie bei der Bereitstellung einer tokenbasierten Authentifizierungsstrategie beachten sollten:

• Setzen Sie das richtige Token ins Spiel: Es gibt zwar eine Reihe von Web-Token, aber keines entspricht der Beliebtheit und Zuverlässigkeit des JSON-Web-Tokens (JWT). JWT gilt als offener Standard (RFC 7519) für die Übertragung vertraulicher Informationen zwischen mehreren Parteien. Die ausgetauschten Informationen werden mit einem Algorithmus oder einer öffentlichen / privaten Schlüsselpaarung digital signiert, um eine optimale Sicherheit zu gewährleisten.
• Keep it private: Ein Token sollte genauso behandelt werden wie Benutzeranmeldeinformationen. Kunden darüber aufzuklären, wie wichtig es ist, ihre Token—Codes privat zu halten – dh sie so zu behandeln, wie sie den Code in einen Tresorraum voller wertvollster Besitztümer geben würden. Diese Einstellung ist besonders relevant, wenn es um den Signaturschlüssel geht.
• HTTPS-Verbindungen nutzen: HTTPS-Verbindungen wurden mit Sicherheitsprotokollen erstellt, die Verschlüsselung und Sicherheitszertifizierungen zum Schutz sensibler Daten nutzen. Es ist wichtig, beim Senden von Token eine HTTPS-Verbindung im Vergleich zu HTTP oder einer anderen Form der Verbindung zu verwenden, da diese alternativen Systeme eine höhere Wahrscheinlichkeit haben, von einem Angreifer abgefangen zu werden.

Die Vorteile von Authentifizierungstoken nutzen

Historisch gesehen war eine Authentifizierungsschicht der Goldstandard. Aber im heutigen Cybersicherheitsklima — in dem Hacker schlauer sind als je zuvor – ist eine Authentifizierung das absolute Minimum. Wissensbasierte Authentifizierungspraktiken funktionieren am besten, wenn sie neben besitzbasierten implementiert werden, um robuste 2FA-Systeme zu bilden.

Hier tritt die Token-Authentifizierung in Kraft. Token-Systeme, die auf Hardware angewiesen sind, um computergenerierte Codes bereitzustellen, sind ein kritischer Bestandteil jeder umfassenden Sicherheitsstrategie. Diese Systeme setzen 2FA ein, um Angreifer zu stoppen, bevor sie Zugriff auf das Netzwerk erhalten und dort Chaos anrichten.

Neben der proaktiven Sicherung von Kundennetzwerken ist es jedoch wichtig, dass MSPs Kunden auch bei der Reaktion auf Datenverstöße unterstützen. Für den Fall, dass es einem schlechten Akteur erfolgreich gelingt, Zugang zu einem Netzwerk zu erhalten, kann die sichere Speicherung von Daten in der Cloud verhindern, dass Ihre Kunden Opfer von Datenverlust oder der Gefahr von hohen Lösegeldern werden.