Zwei-Faktor-Authentifizierung: sicher anmelden & Privatsphäre schützen
Die Zwei-Faktor-Authentifizierung (2FA) überprüft die Identität des Anwenders über zwei parallele und voneinander unabhängige Abfragen beziehungsweise Faktoren. Auf diese Weise steigert die Software die Sicherheit der dahinterliegenden Anwendung. Verschiedene Faktoren kommen infrage.
Was ist ein typisches Beispiel für die Zwei-Faktor-Authentifizierung?
Für die 2FA wird typischerweise etwas gebraucht, was „man hat“, und etwas, was „man weiß“. Dabei kann es sich um Smartcards handeln. Die Smartcard ist dann der physische Gegenstand, also etwas das „man hat“. Und die PIN ist das, was „man weiß“. Ein anderes Beispiel ist die Kombination aus Benutzernamen mit Passwort und einer per SMS auf dem Smartphone erhaltenen PIN. In diesem Fall überprüft die Authentifizierung die Faktoren Wissen (Passwort) und Besitz (Smartphone) ab. Durch Kombination beider Faktoren ist fremden Personen der Zugang zum Benutzerkonto deutlich erschwert.
Welche Kombinationsmöglichkeiten für die Faktoren kommen infrage?
Meist kombinieren die Software-Entwickler zwei von drei Faktoren miteinander. Zur Auswahl stehen im übertragenden Sinne die Faktoren
- Wissen,
- Besitz und
- Sein.
Der Faktor "Wissen" wird in fast allen Fällen über die Abfrage von Benutzername oder E-Mail Adresse und Kennwort abgefragt.
Der Faktor "Besitz" bietet mehr Möglichkeiten und Variationen. Es gibt tokenbasierte Authentisierungsmittel, darunter fallen Datei-Zertifikate (Soft-Token), Zertifikate auf einer Smartcard oder einem USB-Stick. Auch One-Time-Passwörter (OTP) gelten als tokenbasierte Authentisierungsmittel. Die Generierung des Passworts erfolgt dann über ein Gerät wie RSA SecurID oder es wird eine SMS mit dem Passwort auf das registrierte Smartphone gesandt.
Beim Faktor "Sein" geht es um etwas, das „man ist“. Es wird auf ein biometrisches Merkmal wie einen Fingerabdruck, die Stimme oder das Scannen der Iris zurückgegriffen.
Wovor schützt die Zwei-Faktor-Authentifizierung?
Mit der 2FA werden Identitätsdiebstahl, Phishing-Angriffe und andere Versuche des Onlinebetrugs massiv eingeschränkt. Der Grund: Es reicht nicht aus, den Laptop oder das Smartphone zu stehlen, der Dieb braucht einen weiteren Faktor für den Daten- oder Identitätsklau.
Zum Vergleich: wie funktioniert die Ein-Faktor-Authentifizierung?
Bei der Ein-Faktor-Authentifizierung ist nur eine einzige Komponente für die Identifikation notwendig. Die Kombination aus Benutzername und Passwort ist das klassische Beispiel für diese Form der Authentisierung. Beide Merkmale gehören zum Faktor "Wissen", weshalb es sich um eine Ein-Faktor-Authentifizierung handelt. Wie sicher die 1FA ist, hängt bis zu einem gewissen Grad von der Gewissenhaftigkeit der Anwender ab. Wer sich starke Passwörter ausdenkt, auf automatische Logins über den Browserspeicher verzichtet und sich nicht über soziale Netzwerke bei Apps einloggt, ist relativ sicher. Allerdings können Angriffe per BruteForce sowie Rainbow-Table- oder Wörterbuch-Attacken auch starke Passwörter knacken – wenn der Angreifer ausreichend Zeit hat und über ausreichend schnelle Rechenleistung verfügt. Auch weggeworfene Zettelchen mit dem Passwort, alte Festplatten und Social-Engineering-Attacken stellen eine Gefahr für die Konten dar. Die 2FA ist daher in jedem Fall sicherer und der 1FA möglichst vorzuziehen.
Welche Produkte unterstützen die 2FA?
Zahlreiche Geräte und Apps lassen sich zur Zwei-Faktor-Authentifizierung einsetzen. Es gibt Tokens, RFID-Karten, Smartphone-Apps und mehr. Die SecurID von RSA ist beispielsweise weit verbreitet, wurde jedoch bereits 2011 geknackt. Für komplexe Authentifizierungssysteme bietet Dell mit „Defender“ eine Multi-Faktor-Lösung, hier können Tokens mit biometrischen und weiteren Daten kombiniert werden. Für kleine Organisationen mit bis zu 25 Mitarbeitern bietet Microsoft die 2FA mit Microsoft Phonefactor an. Die App Google Authenticator ermöglicht ebenfalls die 2FA und kann mit anderen Diensten oder Seiten zusammenarbeiten.
Zwei-Faktor-Authentifizierungen und Smartphones
Moderne Smartphones bieten mehrere Möglichkeiten zur Umsetzung der 2FA mit dem Sein-Faktor. Je nach Modell kann das Gerät den Fingerabdruck einer Person erkennen, die Kamera kann ein Gesicht oder die Iris identifizieren und auch kann das Mikrofon zur Überprüfung der Stimme eingesetzt werden. Völlige Sicherheit ist mit diesen Systemen nicht gegeben, wie der Chaos Computer Club medienwirksam zeigen konnte. So ist es zum Beispiel möglich, den Fingerabdruck-Sensor von Apple und den Iris-Scanner von Samsung auszutricksen. Unternehmen wählen die Identifizierungsmethoden aus, die sich am besten für ihre jeweiligen Anforderungen eignen.
Noch sicherer: 3FA
Bei manchen sicherheitsrelevanten Anwendungen wird inzwischen eine Drei-Faktor-Authentifizierung eingesetzt, die sich aus einem Passwort, Hardware-Token und dem Fingerabdruck zusammensetzen kann. Wenn ein Angreifer einen einzelnen Faktor knackt, kann das Passwort möglicherweise herausgefunden werden. Wenn jedoch zusätzlich ein weiterer Faktor geknackt werden muss, suchen sich viele Angreifer lieber leichtere Ziele.
Die meisten Attacken erfolgen heute über das Internet. Die 2FA macht diese Angriffe weniger gefährlich, denn das Knacken eines Passworts reicht für den Zugriff nicht aus. Dass der Angreifer Zugriff auf das Gerät selbst hat, ist in den meisten Fällen sehr unwahrscheinlich. Letztlich macht jeder zusätzliche Authentisierungs-Faktor ein System sicherer.