Die US-amerikanische Bundesbehörde CISA (Cybersecurity and Infrastructure Security Agency) hat die Verwendung der Ein-Faktor-Authentifizierung auf ihre kurze Liste von schlechten Praktiken gesetzt, die sie in Bezug auf die Cybersicherheit als besonders riskant einschätzt.
„Die Ein-Faktor-Authentifizierung ist eine gängige Authentifizierungsmethode mit geringer Sicherheit. Es muss nur ein Faktor – beispielsweise ein Passwort – zu einem Benutzernamen passen, um Zugriff auf ein System zu erhalten. Obwohl alle Organisationen diese Bad Practices vermeiden sollten, sind sie besonders gefährlich bei solchen, die kritische Infrastrukturen betreiben oder „nationale kritische Funktionen“ erfüllen“, heißt es in der Ankündigung der CISA.
Die Bundesbehörde bot Organisationen gleichzeitig ihre Unterstützung an und verwies auf ihre Leitlinien zur Einrichtung stärkerer und besserer Authentifizierungsmethoden. Der Capacity Enhancement Guide der CISA, der sich auf die Implementierung einer starken Authentifizierung konzentriert, hebt die Risiken der Verwendung traditioneller einzelner Authentifizierungsmethoden wie der Verwendung eines Benutzernamens in Kombination mit einem Passwort hervor.
Angreifer können die Zugangsdaten der Benutzer durch eine Vielzahl erprobter Taktiken stehlen, die von Phishing- und Social-Engineering-Angriffen bis hin zu Brute-Force-Angriffen und Keylogging-Malware reichen. Sobald sie die Benutzernamen und Passwörter in die Finger bekommen, ist es nicht mehr so schwierig, ein System zu durchbrechen. CISA empfiehlt daher den Wechsel zur Multi-Faktor-Authentifizierung (MFA), die eine weitaus sicherere Methode ist, da sie eine zusätzliche Sicherheitsebene hinzufügt und es Cyberkriminellen enorm erschwert, Benutzerkonten zu knacken.
Laut einer gemeinsamen Studie von Google, der New York University und der University of California San Diego können Unternehmen, die MFA einführen, ihre Widerstandsfähigkeit gegen böswillige Angriffe erheblich steigern. Die von der CISA zitierte Studie ergab, dass der Einsatz von MFA „100 % der automatisierten Bots, 99 % der Massen-Phishing-Angriffe und 66 % der gezielten Angriffe auf Google-Nutzerkonten blockiert“.
Neben der Verwendung der Ein-Faktor-Authentifizierung umfasst der CISA-Katalog der Bad Practices auch:
- Die Verwendung von nicht unterstützter oder veralteter Software
- Die Verwendung bekannter, fester oder standardmäßig eingestellten Passwörter und Zugangsdaten
Die Bundesbehörde startete auch eine Diskussion über Bad Practices auf ihrem GitHub-Profil und forderte Systemadministratoren und IT-Experten dazu auf ihre Vorschläge einzubringen, wie man die problematischen Praktiken beseitigen kann.