Mit Version 3.2 des PCI DSS hat das PCI Security Standards Council (PCI SSC) seinen Schwerpunkt im Bereich starke Verschlüsselung und Multi-Faktor-Authentifizierung (MFA) weiter ausgebaut.
Anforderung 8.3 ist ein konkretes Beispiel für diese Entwicklung. Diese Anforderung wurde mit 3.2 von
„8.3 Incorporate two-factor authentication for remote network access originating from outside the network by personnel (including users and administrators) and all third parties, (including vendor access for support or maintenance).” – PCI DSS 3.1
geändert zu
„8.3 Secure all individual non-console administrative access and all remote access to the CDE using multi-factor authentication.” – PCI DSS 3.2
Jeder Administrator mit Zugang zur Kartendatenumgebung (auch von intern) muss nun mindestens zwei Faktoren nutzen, wobei kein Faktor zweimal genutzt werden kann. Im Februar 2017 hat das PCI SSC zur weiteren Konkretisierung den Leitfaden „Guidance for Multi-Factor Authentication“ herausgebracht, im Weiteren kurz MFA Guidance genannt. Nachfolgend zusammengefasst die wichtigsten Themenschwerpunkte:
Multi-Faktor-Authentifizierung. Prinzipiell bedeutet MFA, dass für die Authentifizierung eine Kombination von mindestens zwei Faktoren genutzt wird. Die verwendbaren Faktoren sind:
• etwas, das man hat (Token, Schlüssel, (Bank)karte, …)
• etwas, das man weiß (Kennwort, PIN, …)
• etwas, das man ist (Fingerabdruck, Iris-Erkennung, Stimmenerkennung, …)
Unabhängigkeit der Authentifizierungsmethoden. Es sollte sichergestellt sein, dass die Faktoren unabhängig voneinander sind, indem der Zugang zu einem Faktor niemals auch Zugang zu einem weiteren Faktor gibt. Damit sollen Integrität und Vertraulichkeit für jeden der eingesetzten Faktoren sichergestellt werden. Als mögliche Umsetzungen zur Gewährleistung der Unabhängigkeit nennt die Anleitung zum einen die sogenannte Out-of-band (OOB) Authentifizierung (Übermittlung der Faktoren über unterschiedliche Netzwerke bzw. Kanäle) und Kryptographische Tokens (eingebettet in einem Gerät bzw. gespeichert auf entfernbaren Medien).
Schutz der Faktoren. Zum Schutz der Integrität und Vertraulichkeit müssen die verwendeten Faktoren selbst auch geschützt werden. Hierbei bezieht sich die Guidance auf die in Anforderung 8 definierten Kontrollen des PCI DSS.
• etwas, das man hat: Hierbei gilt es sicherzustellen, dass dieser Faktor nicht mit anderen autorisierten Nutzern geteilt wird bzw. sich nicht im Besitz unautorisierter Parteien befindet. Zudem sollte dieser Faktor gegen Nachbildungen des Faktors geschützt werden.
• etwas, das man weiß: Der Faktor sollte möglichst schwer zu erraten und robust gegen Brute-Force-Angriffe sein. Für diesen Faktor kann hoher Schutz über hohe Komplexität sichergestellt werden.
• etwas, das man ist: Dieser Faktor sollte nicht repliziert werden können. Zudem muss sichergestellt sein, dass andere Nutzer diesen Faktor nicht auf Geräten, auf denen diese Daten präsent sind, verwenden können.
Multi-Step vs Multi-Faktor. Gemäß MFA Guidance darf nicht bekannt sein, ob ein einzelner Faktor innerhalb des Authentifizierungsprozesses erfolgreich war oder nicht. Ausschließlich das Wissen um den Erfolg des gesamten Authentifizierungsprozesses (d.h. nach Eingabe aller verwendeten Faktoren) ist demnach zulässig.
Bei einer nach der MFA Guidance nicht als Multi-Faktor zulässigen Multi-Step-Authentifizierung gibt ein Faktor Zugriff auf einen anderen. Als Beispielprozess einer solchen unzulässigen Multi-Step-Authentifizierung sei der Ablauf mit Eingabe des ersten Faktors bestehend aus Benutzername und Passwort genannt, der nach erfolgreicher Authentifizierung zur Anforderung eines zweiten Faktors (z.B. biometrische Daten) führt.
Viktor Ahrens & Dennis Yang
PCI & Payment Security
Sie haben Fragen dazu? Unsere Kolleginnen und Kollegen helfen Ihnen gerne weiter. Melden Sie sich einfach unter +49 6102 8631-90 oder per E-Mail an pci@usd.de.
Über die PCI Expert Tipps:
Mit den PCI Expert Tipps möchten wir Sie über Neuerungen der PCI Security Standards informieren und Ihnen erste Hinweise geben, wie sie zu verstehen sind und welche Auswirkungen sie haben können. Unsere Artikel sind dabei immer nur als allgemeine Richtschnur zu verstehen, sie ersetzen nicht die individuelle Betrachtung im Einzelfall.