Bei der Zwei-Faktor-Authentisierung handelt es sich um eine Sicherheitsprozedur, bei der ein Anwender durch zwei unterschiedliche Komponenten eindeutig identifiziert wird. Das Verfahren stellt heutzutage den Standard bei der Absicherung von Mobile- und Web-Applikationen, Cloud-Infrastrukturen und virtuellen Plattformen dar. Im folgenden Artikel beleuchten wir das Thema Zwei-Faktor-Authentifizierung von allen Seiten und gehen auf die wichtigsten Merkmale im Detail ein.

Zwei-Faktor-Authentisierung im Detail

Der Begriff Zwei-Faktor-Authentisierung (kurz 2FA) entstammt dem Bereich der Computer- und Netzwerk-Sicherheit. Als Verfahren zur Authentifizierung von Nutzern eines Informationssystems hat sich die Zwei-Faktor-Authentisierung im Laufe der Jahre nicht zuletzt aufgrund der hohen Sicherheit im Vergleich zum relativ geringen Implementierungsaufwand etablieren können. Die Identitätsprüfung eines Nutzers wird dabei durch zwei verschiedene Authentifizierungskomponenten realisiert, die voneinander unabhängig sind. Als prominente Beispiele können die Kombination von Nutzerdaten und SMS-Code beim E-Mail-Konto oder Kreditkarte und PIN beim Geldautomaten angeführt werden. Unterschiedliche Verfahren setzen auf unterschiedliche Identifizierungskomponenten.

Diese können aus folgenden Bereichen entstammen:

– die biometrischen Merkmale des Nutzers (Fingerabdruck, Gesichtsform, Netzhaut des Auges)

– das individuelle Wissen des Nutzers (Passwort, Geburtsdatum)

– der persönliche Besitz des Nutzers (Bankkarte, NFC-Token)

Kommen aus diesen Kategorien zwei unterschiedliche Merkmale zur Identifizierung zum Einsatz, dann spricht man von einer Zwei-Faktor-Authentisierung. Es gibt auch eine Weiterentwicklung dieses Systems, die auf sogenannten Einmal-Passwörtern (engl. One-Time-Passwords – OTP) basiert. Die Passwörter werden im Rahmen des Anmeldevorgangs einmalig erstellt und verlieren nach einigen Minuten oder nach erfolgreicher Authentifizierung ihre Gültigkeit.

Bei Web-Diensten und Services, die eine Zwei-Faktor-Authentisierung bereitstellen, sollten Sie diese auch stets nutzen. Die 2FA stellt ein beachtliches Sicherheitsplus bei Authentifizierungs-Vorgängen dar und kann verschiedene Arten von Hacker-Attacken, wie beispielsweise Brute-Force– oder Phishing-Angriffe, stark einschränken und in vielen Fällen völlig eliminieren. Cyberkriminelle benötigen stets beide Komponenten der Zwei-Faktor-Authentisierung, um einen Angriff erfolgreich durchführen zu können.

Welche Authentifizierungsfaktoren kommen bei 2FA zum Einsatz?

Im Rahmen der Zwei-Faktor-Authentisierung kommen zwei definierte Authentifizierungsfaktoren zum Einsatz, die voneinander unabhängig fungieren. Wenn eine der Identifizierungskomponenten fehlt oder falsch gebraucht wird, wird der Authentifizierungs-Vorgang abgebrochen und dem Nutzer wird der Zugang verwehrt. Die drei häufigsten Identifizierungskomponenten werden in der Regel als etwas beschrieben, das man besitzt (Haben-Faktor), das man ist (Sein-Faktor) und das man weiß (Kenntnis-Faktor). Außerdem existieren Systeme mit erweiterten Authentifizierungsanforderungen, bei denen sowohl die Zeit als auch der Ort als vierter und fünfter Authentifizierungsfaktor integriert werden.

Mehr zum Thema:
Unsere Referenzen: Wir begrüßen NBS Training

Ein-Faktor-Authentifizierung vs. Zwei-Faktor-Authentifizierung

Die traditionelle Ein-Faktor-Authentifizierung nutzt nur eine einzige Komponente als Basis, um eine Person zu identifizieren. Das prominenteste Beispiel hierfür ist die Kombination aus Nutzername und Passwort. Obwohl Nutzername und Passwort eigentlich zwei Merkmale sind, gehören sie dennoch demselben Authentifizierungsfaktor (Kenntnis-Faktor) an. Passwörter stellen bis heute die häufigste Form der Ein-Faktor-Authentifizierung dar. Dies liegt vor allem an der einfachen Implementierung und den geringen Kosten. Sie sind jedoch nicht sicher. Ein weiteres Problem bei der Passwort-Authentifizierung ist, dass sie im hohen Grad von der Gewissenhaftigkeit des Nutzers abhängig ist, um ein sicheres Passwort zu generieren und sich dieses auch tatsächlich zu merken. Die Zwei-Faktor-Authentisierung sorgt hier für eine wesentlich höhere Sicherheit.

Produkte mit Zwei-Faktor-Authentisierung

Auf dem Markt sind zahllose Lösungen und Geräte erhältlich, die zur Zwei-Faktor-Authentisierung eingesetzt werden. Sie reichen von Smartphone-Apps über Hardware-Tokens bis hin zu RFID-Karten. Im Folgenden gehen wir auf einige 2FA-Produkte bekannter Hersteller ein:

– Google Authenticator: Hierbei handelt es sich um eine App zur Zwei-Faktor-Authentisierung, die in Kombination mit Webdiensten von Google genutzt wird.

– Dell Defender: Der Defender von Dells stellt eine Multi-Faktor-Lösung dar, die in erster Linie bei komplexen Authentifizierungssystemen zum Einsatz kommt.

– Microsoft Phonefactor: Dieses Produkt von Microsoft stellt Zwei-Faktor-Authentisierung zu günstigen Preisen zur Verfügung. Für Firmen bis zu 25 Anwendern ist es kostenlos erhältlich.

Mobile Zwei-Faktor-Authentifizierung

Die führenden mobilen Betriebssysteme Android von Google und iOS von Apple verfügen über Apps, mit denen sich eine Zwei- sowie Multi-Faktor-Authentifizierung realisieren lässt. Viele Smartphones sind mittlerweile mit Fingerabdrucksensoren ausgestattet, die Fingerabdrücke erkennen können. Kameras und dedizierte Sensoren werden zur Gesichtserkennung genutzt und die Mikrofone erkennen die Stimme. Außerdem sind zahlreiche Apps erhältlich, die Einmal-Passwörter generieren können, sodass das Smartphone als Token-Gerät eingesetzt werden kann, das den bereits im obigen Absatz erwähnten Haben-Faktor abdeckt. Ein prominentes Beispiel für eine moderne 2FA-App ist der Google Authenticator. Um auf einen Web-Dienst zuzugreifen, gibt der Nutzer seinen Nutzernamen und sein Passwort ein. Zeitgleich wird ein One-Time-Passwort (OTP) generiert und auf das vorher verknüpfte Gerät des Nutzers zugestellt. Um Zugang zu erhalten, muss der Anwender das One-Time-Passwort innerhalb von 60 Sekunden eingeben, sonst wird der Login-Vorgang automatisch abgebrochen.

Mehr zum Thema:
Was ist SAMBA?

Multi-Faktor-Authentifizierung als Weiterentwicklung

Einige Sicherheitsprozesse setzen mittlerweile auf eine Drei-Faktor-Authentisierung, die sich beispielswies aus einem Passwort, einem hardwarebasierten Token und biometrischen Daten wie Fingerabdruck oder Gesichtsscan zusammensetzen kann. Einem Hacker kann es eventuell gelingen einen einzelnen Authentifizierungs-Faktor zu hacken. So kann beispielsweis eine detaillierte Suche im Umfeld des anvisierten Opfers zum Fund relevanter Daten führen, die im Müll gelandet sind. So lässt sich zwar ein Faktor der Authentifizierung knacken, wenn jedoch mehrere Authentifizierungen erforderlich sind, steht der Hacker vor weiteren Hürden.

Letzte Artikel von Daniel Faust (Alle anzeigen)