Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Pfeilername: Schützen von Identitäten und geheimen Schlüsseln
Mustername: Phishing-resistente MFA
Phishing-resistente Multifaktor-Authentifizierung (MFA) ist Teil des Schutzziels von Identitäten und Geheimnissen der Secure Future Initiative (SFI), die sich auf die Härtung der Authentifizierung konzentriert, das Entfernen nicht verwalteter Anmeldeinformationen, das Erzwingen von Zero Trust-Prinzipien und den Schutz kryptografischer Schlüssel. Es stellt sicher, dass die Identität überprüfbar ist, der Zugriff nachvollziehbar ist und Geheimnisse mit strengem Schutz in der gesamten digitalen Umgebung verteidigt werden.
Kontext und Problem
Herkömmliche MFA-Methoden wie SMS-Codes, E-Mail-basierte OTPs und Pushbenachrichtigungen werden gegenüber angreifern von heute weniger effektiv. Komplexe Phishingkampagnen haben gezeigt, dass der zweite Faktor abgefangen oder vorgetäuscht werden kann. Angreifer nutzen jetzt Social Engineering, Man-in-the-Middle-Taktiken und Benutzerermüdung (z. B. MFA-Bombenangriffe), um diese Mechanismen zu umgehen. Diese Risiken werden in verteilten, cloudbasierten Organisationen mit Hybridmitarbeitern und unterschiedlichen Geräteökosystemen verstärkt.
Herkömmliche MFA reicht nicht mehr aus – Phishing-beständige MFA ist die neue Basislinie.
Lösung
Um diese Herausforderungen zu bewältigen, hat Microsoft das Ziel der Phishing-widerstandsfähigen MFA unter der Secure Future Initiative gestartet. Ziel: eine unternehmensweite Umstellung auf Phishing-beständige MFA mit 100% von Benutzerkonten, die durch sicher verwaltete, phishingsichere mehrstufige Authentifizierung geschützt sind.
Diese Transformation wurde durch einen phasenweisen Rollout implementiert, der auf:
- Verwendung von Schlüsseln (einschließlich, aber nicht beschränkt auf FIDO2-Sicherheitsschlüssel, Microsoft Authenticator-App, Windows Hello for Business, macOS Platform SSO Secure Enklave usw.)
- Erzwingung des bedingten Zugriffs über eigene und verbundene Mandanten hinweg
- Identifizieren und Migrieren der benutzerbasierten Automatisierung (Dienstkonten) zu Workloadidentitäten, je nach Szenario und Anforderungen
- Starke Onboarding-Schutzmaßnahmen, einschließlich TAP (Temporary Access Pass) und videobasierte Identitätsüberprüfung, die an NIST SP 800-63-4 ausgerichtet sind
Microsoft integrierte auch phishingresistente MFA in jede Phase des Mitarbeiterlebenszyklus und hat sie in Onboarding-, Übergangs- und Deaktivierungsworkflows eingebettet, was zu folgenden Ergebnissen führt:
- 92% von Mitarbeiterproduktivitätskonten werden durch Phishing-beständige Authentifizierungsmethoden geschützt
- Der Zugriff externer Benutzer wird durch Phishing-beständige Anmeldeinformationen gesichert.
- Das Remote-Onboarding in großem Umfang wird durch eine Identitätsüberprüfung mit hoher Vertrauenswürdigkeit erreicht.
Beratung
Organisationen können ein ähnliches Muster mit den folgenden Aktionen anwenden:
| Anwendungsfall | Empfohlene Aktion | Ressource |
|---|---|---|
| Workload-Identitäten | Identifizieren und migrieren Sie benutzerbasierte Automatisierung (Dienstkonten) zu Workloadidentitäten, oder erwägen Sie die Verwendung der zertifikatbasierten Authentifizierung. | Was sind Workload-Identitäten? |
| Zeitgebundene Anmeldeinformationen | Verwenden Sie temporäre Zugangsberechtigungen (TAP), um das Onboarding und die Wiederherstellung mit zeitlich begrenzten Anmeldeinformationen zu sichern. | Konfigurieren des temporären Zugriffsdurchlaufs |
| Sicheres Onboarding | Verwenden Sie die Videoüberprüfung und die Live-Erkennung, um betrügerischen Zugriff zu verhindern. | Lebendigkeitserkennung für Gesichter |
| Stärkere Authentifizierungsmethoden | Priorisieren Sie Authentifizierungsmethoden, die nicht phished oder wiederverwendet werden können, indem Sie FIDO2- oder Passkey-Lösungen bereitstellen. |
Was ist FIDO2? Handbuch zur kennwortlosen Bereitstellung |
| Bedingter Zugriff | Richten Sie Anmelderichtlinien für alle Mandanten und Umgebungen mithilfe von Richtlinien für bedingten Zugriff aus. | Richtlinienvorlagen für bedingten Zugriff |
| Workflows für den Benutzerlebenszyklus | Implementieren Sie Benutzerlebenszyklus-Workflows, um Anmeldeinformationen zu registrieren, die gegen Phishingangriffe resistent sind. | Was sind Lebenszyklus-Workflows? |
| Generieren Sie TAP-Anmeldeinformationen basierend auf angepasster Logik. Stellen Sie sicher, dass die sichere MFA-Registrierung und -Deaktivierung in jeder Phase des Benutzerlebenszyklus erfolgt. | Eingebaute Aufgaben im Lebenszyklus-Workflow |
Vorteile
- Starke Verteidigung gegen Phishing: Beseitigt die häufigsten Kompromittierungsvektoren.
- Reduzierte Benutzerinteraktion: Kryptografieschlüssel optimieren den Zugriff und verringern die Müdigkeit.
- Skalierbare Identitätssicherheit: Funktioniert über Plattformen, Benutzertypen und Regionen hinweg.
- Verbesserte Wiederherstellung und Unterstützung: Die TAP- und Liveness-Überprüfung gewährleisten eine sichere erneute Authentifizierung.
- Erhöhter Basisplan für Mandanten: Konsistente Richtlinien für bedingten Zugriff erhöhen die Sicherheit für interne und externe Identitäten gleichermaßen.
Kompromisse
- Komplexität der Gerätebereitstellung: Hardwareschlüssel und Passkeys müssen sowohl an den Standort als auch an Remotebenutzer verteilt werden.
- Plattformunterschiede: Eingeschränkte systemeigene Unterstützung für Passkeys in einigen Betriebssystemen erfordert möglicherweise technische Problemumgehungen.
- Anpassung der Benutzeroberfläche: Das Ändern von Verhaltensweisen erfordert Schulungen und Kommunikation, um die Akzeptanz sicherzustellen.
- Erhöhter Implementierungsaufwand: Modernisierung der Identitätsinfrastruktur, bedingte Richtlinien und Unterstützung für segmentierte Rollouts fügen Projektbereich hinzu.
Wichtige Erfolgsfaktoren
Um den Erfolg nachzuverfolgen, messen Sie Folgendes:
- Prozentsatz der Benutzer, die durch Phishing-beständige MFA geschützt sind
- Prozentsatz der Anmeldungen, die Phishing-widerstandsfähige Methoden erfordern
- Prozentsatz der Konten, die mit sicheren Verifizierungsworkflows (z. B. TAP + Lebendigkeitsprüfung) eingerichtet wurden
- Erzwingungsabdeckung für bedingten Zugriff über Mandanten hinweg
- Verringerung der Supporttickets im Zusammenhang mit MFA-Ermüdung oder Sperrungen
- Durchschnittliche Zeit zur sicheren Übernahme neuer Berechtigungen nach einem Vorfall
- Inventarisieren von Anwendungen und Migrieren von Anwendungen zur Verwendung von Entra für die Authentifizierung
Zusammenfassung
Phishing-beständige MFA ist nicht mehr optional – es ist wichtig, das Risiko von angriffen auf Anmeldeinformationen zu verringern. Durch das Ersetzen anfälliger MFA-Methoden durch Phishing-widerstandsfähige Lösungen entwickelt Microsoft sowohl identitätssicherheit als auch Benutzervertrauen. Organisationen können dieses Modell replizieren, um ihre eigenen Umgebungen vor den häufigsten Identitätsbedrohungen zu schützen.
Durch die Implementierung von Phishing-widerstandsfähigen MFA können Sie die Exposition Ihrer Organisation an anmeldeinformationsbasierte Angriffe reduzieren.