1 SEPTEMBER 2021

CISA will Single-Factor-Authentifizierung den Garaus machen

Uhr von Coen Kaat und san

Die US-amerikanische Cybersecurity-Behörde CISA hat die Single-Factor-Authentifizierung auf ihre Liste schlechter IT-Praktiken gesetzt. Auch das Nationale Zentrum für Cybersicherheit der Schweiz würde dies am liebsten abschaffen.

(Source: FrankRamspott / iStock)

Die Cybersecurity and Infrastructure Security Agency (CISA), die für IT-Sicherheit zuständige Behörde der USA, will keine Single-Factor-Authentifizierung (SFA) mehr sehen. Die Behörde fügte SFA zu ihrer noch sehr kurzen Liste der Bad Practices – also ihre Liste schlechter Praktiken – hinzu.

Bei einer Single-Factor-Authentifizierung wird ein Benutzer oder eine Benutzerin lediglich aufgrund eines einzelnen Faktors verifiziert. Das heisst in der Regel wird lediglich ein Passwort einem Benutzernamen zugeordnet.

Diese Form der Authentifizierung sei eine übliche, aber unsichere Methode. Zwar sollten alle Unternehmen SFA vermeiden. Aber dies gelte insbesondere für Unternehmen, die kritische Infrastrukturen betreiben oder kritische Funktionen für den Staat ausüben.

Auch das Nationale Zentrum für Cybersicherheit (NCSC) der Schweiz teilt diese Auffassung. In einem unlängst veröffentlichten Tweet erinnerte das NCSC „mit Nachdruck“ auf die seit Jahren bestehende Empfehlung, sämtliche Fernzugänge mit einem zweiten Faktor abzusichern.

Statt sich nur auf einen Faktor zu verlassen, solle man auf eine Multi-Faktor-Authentifizierung (MFA) setzen. Dabei wird ein Passwort mit mindestens einem weiteren Faktor, wie etwa einem SMS-Code, ergänzt. Wie solche MFA-Systeme funktionieren und worauf es dabei zu achten gilt, weiter lesen