Zwei-Faktor-Authentifizierung für Datenbanken als zusätzliche Zugangssicherheit

Ein weiteres Mal zur Stärkung Ihrer Datenbanksicherheit oder wie Sie die Autorisierung zum eingeschränkten DBMS intensivieren können. Zwei-Faktor-Authentifizierung (2FA) überprüft die Identitäten der Datenbankbenutzer durch zwei separate Kennungen. Die Authentifizierung zum Zugriff auf die Datenbank erfolgt nicht, bis beide vom Benutzer eingegebenen Identifizierungsmethoden korrekt sind.

Generell kann der Zugriff auf jedes System durch eine Kombination verschiedener Identitätsprüfungsmethoden geschützt werden. Zusammen mit Anmeldeinformationen kann 2FA verwendet werden, das Push-Benachrichtigungen, Einmalpasswörter, Sprach- oder SMS-Authentifizierung, Biometrie usw. umfasst. Zuerst gibt ein Benutzer seinen Benutzernamen und ein Passwort ein und muss dann seine Identität ein weiteres Mal durch eine zusätzliche Bestätigungsmethode nachweisen.

Zusätzliche Sicherheitsebene. Ist der Aufwand wert?

Da alles mit dem Präfix “extra” kompliziert klingt, ganz zu schweigen davon, dass es in der Praxis noch komplizierter erscheinen kann, werden zusätzliche Maßnahmen in der Regel vernachlässigt, um Aufwand zu sparen. Erstens, ist es klug, zusätzliche Maßnahmen zu ignorieren, die sich auf die Datenbanksicherheit beziehen und diese intensivieren sollen? Zweitens, die Komplikationen wirken in beide Richtungen. Angreifer werden von einfachen Zielen angezogen. In einfachen Worten, 2FA dient als Abschreckung für Hacker, die versuchen, Ihre doppelte Authentifizierung zu kompromittieren, und sie suchen lieber nach Opfern mit nur einer Authentifizierungsschicht.

Passwortbasierter Zugriff ist die häufigste Form der Identifizierung, ein Teil des Anmeldevorgangs oder die sogenannte Ein-Faktor-Authentifizierung. Selbst wenn eine starke Passwortpolitik umgesetzt wird, wird aufgrund zahlreicher kürzlich gemeldeter Sicherheitsverletzungen ein Passwort allein in der Regel abgelehnt, da es nicht mehr ausreichend Schutz bieten kann, da es erraten werden kann, gestohlen oder mit falschen Personen geteilt werden kann, d.h. anfälliger für verschiedene Hacking-Techniken wie Phishing, Brute-Force, Keylogging usw. ist. Mit 2FA wird das Risiko eines betrügerischen Zugriffs auf Ihre Datenbank begrenzt, da die Benutzer vor dem Zugriff auf das System ordnungsgemäß durch eine doppelte Verifizierungsmethode authentifiziert werden. Offensichtlich rechtfertigt 2FA also den damit verbundenen Aufwand und die Kosten.

DataSunrise 2FA in Aktion

Die meisten Datenbanken haben keine 2FA-Lösungen standardmäßig installiert, und spezifische Authentifizierungs-Plugins können erforderlich sein, um den Zugriff der Benutzer mit 2FA zu schützen. Dies kann einige Unannehmlichkeiten verursachen, da diese Plugins für verschiedene Datenbanken unterschiedlich sind und es Zeit und Mühe erfordert, verschiedene ähnliche Lösungen zu bewerten, bevor man eine Wahl trifft, sie dann installiert und testet. Die 2FA-Funktion in DataSunrise ist universell und an alle unterstützten Datenbanken anpassbar und erfordert keine zusätzliche Konfiguration von Plugins oder Tools. Um die Berechtigung eines Benutzers für den Zugriff auf eine Zieldatenbank zu überprüfen, integriert DataSunrise zwei separate Verifizierungsmethoden in seine Zwei-Faktor-Authentifizierungslösung. Der grundlegende Anmeldeprozess wird durch eine E-Mail-basierte Authentifizierung intensiviert.

Wenn sich ein Datenbankbenutzer mit Anmeldedaten authentifiziert, wird er über einen Bestätigungslink direkt per E-Mail informiert. Um E-Mails mit Bestätigungslinks zu senden, konfigurieren Sie einen SMTP-Server unter Konfiguration → Abonnenten → Server hinzufügen und aktivieren Sie das Kontrollkästchen Sicherheits-E-Mails von diesem Server senden.

Abhängig von den Berechtigungen und administrativen Rollen können Sie 2FA für bestimmte Datenbankbenutzer deaktivieren und ihnen erlauben, sich nur mit einem Benutzernamen und einem Passwort anzumelden, und 2FA für andere mit kritischeren Rollen zuweisen. Zu diesem Zweck gehen Sie zu Konfiguration → Datenbankbenutzer, öffnen Sie das erforderliche Benutzerprofil, aktivieren Sie Zwei-Faktor-Authentifizierung aktivieren und geben Sie eine E-Mail-Adresse an, an die DataSunrise einen Sicherheitsbrief mit einem Bestätigungslink senden wird. Der Benutzer muss den Link öffnen und sich erneut anmelden, um den zweiten Identitätsbestätigungsschritt abzuschließen.

Sie können 2FA auch so aktivieren, dass nur Benutzer mit E-Mail-basierter Authentifizierung auf Ihre Zieldatenbank zugreifen können. Gehen Sie dazu zum Profil der Zieldatenbank und aktivieren Sie das Kontrollkästchen Nur Benutzer mit Zwei-Faktor-Authentifizierung akzeptieren in den Erweiterten Einstellungen.

Selbst wenn DataSunrise 2FA optional ist, sollten Sie dessen Einsatz in Betracht ziehen, da dies die Möglichkeit eines unbefugten Benutzers, sich in Ihre Zieldatenbank einzuloggen, erheblich reduziert.
Weitere Informationen zur Integration von zwei separaten Kennungen finden Sie im DataSunrise Database Security Suite Benutzerhandbuch.