Mehrfaktor-Authentifizierung: Überblick über die verschiedenen Technologien
Warum Sie sich mittels Mehrfaktor-Authentifizierung im Netz schützen sollten und welche technischen Verfahren dabei zum Einsatz kommen, erfahren Sie im Beitrag.
Im Netz müssen sich Userinnen und User häufig mittels Benutzernamen identifizieren und mithilfe eines Passworts authentifizieren, bevor der Zugriff auf das Benutzerkonto gewährt wird. Dieser Anmeldevorgang wird bei einer Mehrfaktor-Authentifizierung (Multifaktor-Authentifizierung; MFA) um weitere Anmeldeschritte und Sicherheitsmaßnahmen erweitert. Userinnen und User müssen bei diesem Modell der Identifikation mindestens zwei voneinander unabhängige Prozesse (Zwei-Faktor-Authentifizierung) durchlaufen.
Ein bekannter Anwendungsfall ist die Nutzung einer Bankomatkarte in Kombination mit einer PIN-Eingabe. Dabei kommen zwei unterschiedliche Überprüfungskategorien zum Einsatz: Der Faktor „Besitz“ hinsichtlich der Bankomatkarte sowie der Faktor „Wissen“ in Bezug auf die PIN. Stimmen die vorgelegten Daten mit dem hinterlegten Datensatz überein, wird die Person authentifiziert und für den Zugriff auf das Konto autorisiert.
In der digitalen Welt kommt der Mehrfaktor-Authentifizierung eine besondere Bedeutung zu: Sie sorgt im Rahmen einer Identitätsfeststellung ohne physische Anwesenheit der zu identifizierenden Person für mehr Sicherheit. Technisch betrachtet wird die Unverfälschtheit bestimmter Daten bestätigt, an die zuvor eine bestehende Identität gekoppelt wurde. Die zusätzliche Identitätsüberprüfung erfolgt üblicherweise anhand einer von drei Kategorien:
- Wissen: Bestimmte Informationen, die geheim gehalten werden; Passwort, PIN oder die Antwort auf eine Geheimfrage
- Besitz: Gegenstand im persönlichen Besitz, der vor Diebstahl und missbräuchlicher Verwendung geschützt werden muss; Bankomatkarte, kryptografischer Schlüssel, Hardware- oder Software-Token beziehungsweise Smartphone
- Biometrische Merkmale (Inhärenz): Körperliches Merkmal, das einer bestimmten Person eindeutig zugeordnet werden kann; Fingerabdruck, Iris, Gesicht oder Stimme
Wozu dient die Mehrfaktor-Authentifizierung?
Userinnen und User sichern ihre Zugänge zu E-Mail-Konten, Cloud- und Streamingdiensten sowie Onlineshops sehr häufig mit einem Passwort ab. Gelangen unberechtigte Dritte an diese Zugangsdaten, so bleiben die Online-Konten durch den zweiten Authentifizierungsfaktor weiterhin geschützt. Die Mehrfaktor-Authentifizierung ist somit ein effektiver Schutz gegen Daten- und Identitätsdiebstahl.
Ein häufiger Grund für kompromittierte Online-Konten sind schwache Passwörter oder der unachtsame Umgang mit Zugangsdaten. Zudem sind bestimmte Schadprogramme (zum Beispiel Password-Stealer) darauf spezialisiert, Anmeldedaten auf einem Gerät beziehungsweise im Browser auszulesen. Viele Online-Dienste bieten daher die Zwei-Faktor-Authentifizierung als zusätzliche Sicherheitsmaßnahme an – entweder als fixer Bestandteil des Anmeldevorgangs (Online-Banking) oder als optionale Funktion, die von den Userinnen und Usern selbständig aktiviert werden muss.
Für Online-Dienste und Websites, wo vertrauliche Daten gespeichert werden, sollte prinzipiell eine Multifaktor-Authentifizierung eingerichtet werden. Dazu zählen zum Beispiel:
- Online-Banking
- Finanzdienstleister (Online-Aktienbörsen, Krypto-Handelsplätze)
- E-Mail-Konto
- Unternehmensnetzwerke (für Zugriffe aus dem Homeoffice)
- Websites, bei denen Zahlungsinformationen hinterlegt wurden (Online-Händler)
Hinweis
Welche Login-Methoden keine Passwort-Eingabe erfordern, können Sie im Beitrag „Authentifizierung ohne Passwort: Kennwortlose Login-Methoden im Überblick“ nachlesen.
Praktische Lösungen für die Mehrfaktor-Authentifizierung
Viele zusätzliche Faktoren zeichnen sich dadurch aus, dass sie einmalig für einen Anmeldevorgang erstellt werden und nur für einen kurzen Zeitraum gültig sind. Diese dynamisch generierten Einmalpasswörter werden mithilfe eines speziellen Algorithmus erstellt. Für eine Multifaktor-Authentifizierung können verschiedene Technologien zur Anwendung kommen:
Dynamisch generierte Einmalpasswörter
TOTP (Time-based One-time Password). Bei TOTP handelt es sich um ein dynamisches Einmalpasswort, welches gleichzeitig von einem Passwort-Generator (Client) und einem Server mithilfe desselben Algorithmus erstellt wird. Für ein festgelegtes Zeitintervall von wenigen Sekunden oder Minuten kann sich die Userin oder der User mit dem Einmalpasswort bei einem Server authentifizieren.
- Hardware-OTP: Ein kleines Hardware-Token (zum Beispiel USB-Stick) generiert alle 60 Sekunden ein neues Kennwort.
- Software-OTP: Das Einmalpasswort wird von einer Smartphone-App (zum Beispiel Google Authenticator, LastPass Authenticator, FreeOTP Authenticator) erzeugt.
- E-Mail-OTP/E-Mail-Code: Das Einmalkennwort wird per E-Mail zugesendet.
Mobile TAN/SMS-TAN
Bei diesem Verfahren hinterlegen Userinnen und User ihre Mobiltelefonnummer beim jeweiligen Service-Anbieter. Für die Anmeldung versendet dieser eine TAN (Transaktionsnummer) per SMS, welche die Anwenderin oder der Anwender als zweiten Faktor eingeben muss. Die TAN kann auch auf anderen Wegen übermittelt werden:
- Push-Nachrichten: Per Push an eine spezielle Smartphone-App erhält die Userin oder der User entweder eine Nachricht, die bestätigt, oder eine pushTAN, die abgetippt wird.
- TAN-Liste: Die Benutzerin oder der Benutzer erhält einen Brief mit einer Liste jeweils nur einmal gültiger TAN-Codes, die eingegeben werden.
QR-Code oder photoTAN
Der angezeigte QR-Code wird von der Userin oder dem User mit einem Smartphone beziehungsweise einem speziellen Lesegerät gescannt. Auf dem Display erscheint ein Transaktionscode für die Anmeldung, der dann beim Online-Anbieter eingegeben wird.
Biometrische Authentifizierung
Über das Smartphone kann ein Fingerabdruck oder das Gesicht geprüft werden. Solche biometrischen Daten zeichnen sich durch einen hohen Grad an Fälschungssicherheit aus. Weitere biometrische Technologien sind zum Beispiel Retina-Scans, Stimmerkennung sowie Handflächen-Biometrie. Für weiterführende Informationen lesen Sie auch „Biometrische Authentifizierung: Anmeldung via Körpermerkmale“.
FIDO
Der zweite Sicherheitsfaktor kann auch über einen eindeutigen Sicherheitsschlüssel erbracht werden. Dies erfolgt etwa über USB-Token oder Smartcards (Schlüsselkarten), auf denen der geheime Schlüssel sicher verwahrt wird. Eine Authentifizierung mit kryptografischem Schlüsselaustausch (asymmetrische Kryptografie) kommt bei FIDO (Fast Identity Online) zur Anwendung. FIDO1 – auch als U2F (Universal 2nd Factor) bezeichnet – und FIDO2 sind von der FIDO-Allianz und dem W3C (Standardisierungsgremium für das Internet) entwickelte Standards, die die passwortfreie Identifikation einer Userin oder eines Users ermöglichen. Die FIDO Standards unterstützen neben USB auch kontaktlose Übertragungsprotokolle (NFC – Near Field Communication und BLE – Bluetooth Low Energy), dadurch können auch kontaktlose Smartcards, Smartphone-Apps oder Wearables als Authentifizierungstoken genutzt werden.
Hinweis
Für weiterführende Informationen lesen Sie auch „Authentifizierung im Web“.
Wie sicher ist die Multifaktor-Authentifizierung? Risikopotenziale
Die Multifaktor-Authentifizierung erhöht die Sicherheit gegenüber Cyberangriffen um ein Vielfaches und sollte daher für alle wichtigen Online-Anwendungen aktiviert werden.
Sicherheitslücken können allerdings auch hier nicht ausgeschlossen werden – verschiedene Angriffsvektoren sind in der Lage, auch eine mit zwei Faktoren abgesicherte Anmeldung auszuhebeln. Jedoch setzen Cyberangriffe auf mehrfach abgesicherte Online-Konten und Anwendungen aufgrund des beträchtlichen Aufwandes in den meisten Fällen einen gezielten Angriff voraus.
Erfolgt die Zwei-Faktor-Authentifizierung durch SMS-TAN, können Hackerinnen und Hacker die SMS mittels geklonter SIM-Karten umleiten. Hierzu benötigen Cyberkriminelle nur wenige Informationen – etwa die IMSI-Nummer (internationale Mobilfunkteilnehmeridentität), die sie sich im Vorfeld auf verschiedenen Wegen beschaffen können. Die Kriminellen können sich aber auch gegenüber dem Mobilfunkanbieter als das Opfer ausgeben und um eine Ersatz-SIM-Karte ersuchen. Vergleichsweise sicher ist hier die Nutzung einer speziellen Authentifizierungs-App für das Generieren einer TAN beziehungsweise eines Tokens.
Ein weiteres Sicherheitsrisiko ergibt sich, wenn der Zugriff auf ein Online-Konto über dasselbe Gerät erfolgt, auf dem sich auch die Security-App (zum Beispiel OTP-Generator) für den zweiten Faktor befindet. Spezielle Schadprogramme können auf dem Endgerät sowohl das Passwort als auch den zweiten Faktor auslesen und den Cyberkriminellen übermitteln, bevor die Userin oder der User die Authentifizierung durchführt. Sobald eine Angreiferin oder ein Angreifer erkennt, dass die beiden Faktoren zusammengehören, ist die Sicherheit durch den zweiten Faktor nicht mehr gegeben. Deshalb sollten die einzelnen Faktoren nicht mit anderen Faktoren gemeinsam an einem Ort gespeichert oder aufgerufen werden.
Hinweis
Ein starkes Passwort ist in jedem Fall die erste Vorkehrung, die Userinnen und User zur Absicherung von Online-Konten treffen sollten. Erfahren Sie hierzu mehr im Beitrag „Kennwortsicherheit: Der richtige Umgang mit Passwörtern“.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria