CISA will Single-Factor-Authentifizierung den Garaus machen

Die Cybersecurity and Infrastructure Security Agency (CISA), die für IT-Sicherheit zuständige Behörde der USA, will keine Single-Factor-Authentifizierung (SFA) mehr sehen. Die Behörde fügte SFA zu ihrer noch sehr kurzen Liste der Bad Practices - also ihre Liste schlechter Praktiken - hinzu.

Bei einer Single-Factor-Authentifizierung wird ein Benutzer oder eine Benutzerin lediglich aufgrund eines einzelnen Faktors verifiziert. Das heisst in der Regel wird lediglich ein Passwort einem Benutzernamen zugeordnet.

Diese Form der Authentifizierung sei eine übliche, aber unsichere Methode. Zwar sollten alle Unternehmen SFA vermeiden. Aber dies gelte insbesondere für Unternehmen, die kritische Infrastrukturen betreiben oder kritische Funktionen für den Staat ausüben.

Auch das Nationale Zentrum für Cybersicherheit (NCSC) der Schweiz teilt diese Auffassung. In einem unlängst veröffentlichten Tweet erinnerte das NCSC "mit Nachdruck" auf die seit Jahren bestehende Empfehlung, sämtliche Fernzugänge mit einem zweiten Faktor abzusichern.

Statt sich nur auf einen Faktor zu verlassen, solle man auf eine Multi-Faktor-Authentifizierung (MFA) setzen. Dabei wird ein Passwort mit mindestens einem weiteren Faktor, wie etwa einem SMS-Code, ergänzt. Wie solche MFA-Systeme funktionieren und worauf es dabei zu achten gilt, lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.