Multifaktor-Authentifizierung (MFA) mit LastPass

Die Multifaktor-Authentifizierung (MFA) ist eine Methode für die Kontoanmeldung. Dabei müssen die Benutzer mehrere Verifizierungsschritte durchlaufen, bevor sie Zugriff erhalten.

Die Authentifizierung mit nur einem Faktor – in der Regel Benutzername/E-Mail-Adresse und das dazugehörige Passwort – ist die gängigste Art der Anmeldung. Werden diese Informationen korrekt eingegeben, so erhält der Benutzer Zugriff. Das Problem dabei ist, dass Hacker diese Zugangsdaten leicht per Brute-Force-Angriff erbeuten können.

Bei der Zwei-Faktor-Authentifizierung (2FA) ist zusätzlich zur Kombination aus Benutzername und Passwort eine weitere Form der Authentifizierung nötig, was die Sicherheit bei der Anmeldung erhöht. Zu den möglichen 2FA-Methoden zählen an ein Smartphone gesendete Push-Benachrichtigungen oder per SMS erhaltene Einmalcodes.

Die Multifaktor-Authentifizierung geht noch weiter: Zusätzlich zur Kombination aus Benutzername und Passwort müssen Sie zwei oder mehr Authentifizierungsverfahren durchlaufen. MFA umfasst biometrische Faktoren wie die Fingerabdruck- oder Gesichtserkennung oder kontextbasierte Methoden wie die Überprüfung der IP-Adresse, des Standorts und mehr.

Diese lassen sich kombinieren, um die Sicherheit weiter zu erhöhen, ohne den Bedienkomfort zu schmälern. Unternehmen können beispielsweise von ihren Mitarbeitern zusätzlich zu Benutzername und Passwort einen Einmalcode und einen Fingerabdruckscan anfordern, während sie gleichzeitig ihren Standort überprüfen. So können sie sicherstellen, dass die Anfrage vom erwarteten Ort ausgeht.

Die drei gängigsten Authentifizierungsverfahren umfassen etwas, das Sie wissen; etwas, das Sie haben, und etwas, das Sie sind:

• Etwas, das Sie wissen: Dabei handelt es sich in der Regel um ein von Ihnen angelegtes Passwort oder eine Antwort auf eine Sicherheitsfrage wie der Name Ihres Lieblingslehrers, Ihres ersten Haustiers oder die Marke und das Modell Ihres ersten Autos.
• Etwas, das Sie haben: Bei MFA ist das üblicherweise ein Mobilgerät oder ein Hardwareschlüssel, den Sie in den USB-Port Ihres Computers stecken. Sie können sich zur Bestätigung Ihrer Identität Push-Benachrichtigungen an ein Smartphone senden lassen, dem Sie vertrauen, oder ein Security-Token wie einen Hardwareschlüssel verwenden.
• Etwas, das Sie sind: Dabei handelt es sich um individuelle biologische Merkmale, was auch als biometrische Authentifizierung bezeichnet wird. Zu diesen MFA-Methoden zählen Fingerabdruck- und Netzhautscans sowie die Gesichtserkennung.

Es gibt noch ein viertes Authentifizierungsverfahren, das üblicherweise aber nur von Unternehmen eingesetzt wird, die ein Maximum an Sicherheit benötigen (wenn sie zum Beispiel mit sensiblen Kundendaten zu tun haben). Dabei wird die Benutzeridentität anhand des Standorts überprüft. Diese standort- und zeitbasierte Art der Multifaktor-Authentifizierung wird auch als kontextabhängige MFA bezeichnet. Benutzer erhalten nur dann Zugriff, wenn sie sich von einem erwarteten Standort und/oder während eines festgelegten Zeitfensters anmelden.

Bei der kontextbasierten Multifaktor-Authentifizierung lassen sich benutzerspezifische Kriterien konfigurieren, sodass ein Mitarbeiter, der in Berlin lebt, beispielsweise nur zwischen 8 und 18 Uhr MEZ und im Umkreis von 80 Kilometern um Berlin Zugriff erhält.

LastPass unterstützt verschiedene Arten der Multifaktor-Authentifizierung. Die Benutzer können ihr LastPass-Konto wahlweise mit einer externen MFA-App wie Microsoft Authenticator verknüpfen oder die LastPass-Authenticator-App verwenden. Außerdem ist eine biometrische Authentifizierung über in das Smartphone integrierte Authentifizierungsverfahren wie den Fingerabdruckscanner möglich.

Bei der Anmeldung mittels Passwort authentisieren Sie sich mit nur einem Faktor. Das ist der erste Schritt zum Schutz Ihres Kontos: Sie erstellen ein eindeutiges Passwort, das nur Sie kennen. Wenn Sie dieses bei der Anmeldung korrekt eingeben, bestätigen Sie Ihre Identität und erhalten Zugriff auf Ihr Konto.

„Multifaktor-Authentifizierung“ bezeichnet jede Art der Authentifizierung, die mehr als zwei Faktoren erfordert – in der Regel drei. Die Anmeldung kann dann wie folgt ablaufen:

1. Sie geben Ihren Benutzernamen und Ihr Passwort korrekt ein.
2. Sie geben einen Einmalcode ein, der per SMS an Ihr Smartphone gesendet wurde.
3. Sie bestätigen Ihre Identität per Fingerabdruckscan auf Ihrem Smartphone.

Diese zwei zusätzlichen Schritte schützen Ihre Konten, da sie Informationen erfordern, die für Cyberkriminelle nahezu unmöglich zu beschaffen sind: Zugriff auf Ihr Gerät und Ihre biometrischen Merkmale.

Die standardmäßige Multifaktor-Authentifizierung (MFA) ist Teil aller LastPass-Abos: von LastPass Free bis LastPass Business. Dies gilt auch für die passwortlose Vault-Anmeldung, wobei Benutzer von LastPass Free den passwortlosen Zugriff nur über die LastPass-Authenticator-App aktivieren können.

Gerätebasierte MFA-Methoden wie separate Fingerabdruckscanner oder Hardwareschlüssel wie YubiKey sind nur im Rahmen kostenpflichtiger LastPass-Abos verfügbar.

Die Multifaktor-Authentifizierung für VPNs, Workstations, lokal installierte Apps und Identitätsdienste ist ausschließlich im Rahmen des Add-ons „Advanced MFA“ verfügbar, welches nur für LastPass-Business-Kunden erhältlich ist.