Was ist Zwei-Faktor-Authentifizierung? | Erklärung der zweistufigen Überprüfung

Bei Zwei-Faktor-Authentifizierung (2FA) muss ein Benutzer seine Identität auf zwei unterschiedliche Arten beweisen, bevor ihm Zugriff gewährt wird.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Definieren Sie Zwei-Faktor-Authentifizierung
  • Geben Sie Beispiele von Authentifizierungsfaktoren
  • Untersuchen Sie die Nachteile von 2FA

Link zum Artikel kopieren

Was ist Zwei-Faktor-Authentifizierung?

Zwei-Faktor-Authentifizierung, abgekürzt als 2FA, ist ein Authentifizierungsvorgang, bei dem zwei unterschiedliche Authentifizierungsfaktoren zur Bestätigung der Identität erforderlich sind. Kurz gesagt bedeutet das, dass von einem Benutzer verlangt wird, seine Identität auf zwei unterschiedliche Arten zu beweisen, bevor ihm Zugriff gewährt wird. 2FA ist eine Form der Multi-Faktor-Authentifizierung.

Was ist Authentifizierung?

Authentifizierung ist eine wichtige Komponente der Zugriffssteuerung. Dabei handelt es sich um eine Sicherheitspraxis, bei der bestätigt wird, dass jemand der ist, der er zu sein vorgibt. Ein Beispiel hierfür wäre ein Reisender, der einem Zollbeamten seinen Reisepass zeigt.

Im Bereich der Cybersicherheit ist das gewöhnlichste Beispiel einer Authentifizierung die Anmeldung bei einem Webdienst wie z. B. die Anmeldung bei Gmail in einem Webbrowser oder die Anmeldung in der Facebook-App. Wenn ein Benutzer eine Kombination aus Benutzername und Kennwort eingibt, kann der Dienst diese Angaben bestätigen und zur Authentifizierung des Benutzers verwenden.

Was ist ein Authentifizierungsfaktor?

Authentifizierungsfaktoren sind unterschiedliche Klassen von Methoden zur Identitätsüberprüfung. Einige häufig verwendete Authentifizierungsfaktoren für 2FA umfassen:

  • Wissen: Dabei handelt es sich um eine Information, die nur der Benutzer kennen sollte, z. B. ein Kennwort oder die Antwort auf eine Sicherheitsfrage.
  • Besitz: Dieser Faktor beruht darauf, dass der Benutzer im physischen Besitz eines Objekts ist. Das kann zum Beispiel ein Hardwareschlüssel sein, der Kennungen erstellen kann, oder ein Mobilgerät, an das Codes gesendet werden können.
  • Biometrische Daten: Dabei handelt es sich um einzigartige biologische Merkmale des Benutzers, die zur Authentifizierung verwendet werden können. Beispiele umfassen Fingerabdrücke, Netzhautscans und Gesichtserkennung.
  • Standort: Standort-basierte Tools wie GPS können verwendet werden, um die Authentifizierung auf Benutzer innerhalb einer bestimmten geographischen Region einzuschränken.

Es ist zu beachten, dass es sich nicht um 2FA handelt, wenn zwei Instanzen desselben Authentifizierungsfaktors verlangt werden. Wenn zum Beispiel ein Kennwort und die Beantwortung einer Sicherheitsfrage verlangt werden, ist das immer noch Ein-Faktor-Authentifizierung, denn beide Eingaben beziehen sich auf den Wissens-Faktor.

Wie funktioniert Zwei-Faktor-Authentifizierung?

Die Zwei-Faktor-Authentifizierung kann auf verschiedene Weise funktionieren. Eines der gebräuchlichsten Beispiele für 2FA erfordert eine Überprüfung von Benutzername/Passwort und eine Überprüfung über SMS.

In diesem Beispiel muss der Nutzer bei der Erstellung eines Kontos für einen Dienst einen eindeutigen Benutzernamen, ein Passwort und seine Mobiltelefonnummer angeben. Wenn sich der Nutzer bei diesem Dienst anmeldet, gibt er seinen Benutzernamen und sein Passwort an. Damit ist der erste Authentifizierungsfaktor gegeben (Wissen; der Nutzer hat bewiesen, dass er seine eindeutigen Anmeldedaten kennt).

Als Nächstes sendet der Dienst dem Benutzer eine automatisierte SMS mit einem numerischen Code, woraufhin der Benutzer aufgefordert wird, diesen Code einzugeben. Vorausgesetzt, dass der Code richtig ist, hat der Benutzer einen zweiten Authentifizierungsfaktor vorgelegt (Besitz – der Benutzer ist im Besitz seines Mobilgeräts). Jetzt wurden die Bedingungen für 2FA erfüllt, und der Benutzer kann authentifiziert werden und Zugriff zu seinem Konto erhalten.

Warum wird Zwei-Faktor-Authentifizierung verwendet?

Password-basierte Sicherheit kann mittlerweile von Angreifern zu leicht ausgenutzt werden. Mit der Verbreitung von betrügerischen Phishing-Versuchen, On-Path-Angriffen, Brute-Force-Angriffen und Kennwortwiederverwendung ist es für Angreifer zunehmend einfacher geworden, gestohlene Anmeldeinformationen zu sammeln. Diese gestohlenen Informationen können getauscht oder verkauft werden, um in Credential-Stuffing-Angriffen verwendet zu werden. Aus diesem Grund wird 2FA immer häufiger.

Da Remote-Belegschaften immer üblicher werden, hat auch eine stärkere Identitätsüberprüfung an Bedeutung gewonnen. Die physische Anwesenheit der Mitarbeiter im Büro eignet sich nicht mehr zur Verifizierung ihrer Identität. Daher helfen Maßnahmen wie 2FA, ihre Konten vor Kompromittierung zu schützen.

Sicherheitsexperten empfehlen im Allgemeinen, dass Benutzer 2FA wann immer möglich aktivieren und es auch von Diensten verlangen sollten, die vertrauliche Benutzerdaten handhaben, aber gegenwärtig keine 2FA anbieten. Obwohl 2FA für Angreifer nicht unmöglich zu knacken ist, ist es doch wesentlich schwieriger und teurer zu kompromittieren als eine rein Kennwort-gestützte Authentifizierung.

Ist SMS-basierte Zwei-Faktor-Authentifizierung sicher?

SMS-basierte 2FA (Überprüfung per Textnachricht) ist viel sicherer als Ein-Faktor-Authentifizierung (ausschließlich per Kennwort). Abgesehen davon gehört SMS jedoch zu den am wenigsten sicheren 2FA-Methoden. Das SMS-Protokoll ist nicht sehr sicher, und SMS-Nachrichten können von Angreifern abgefangen werden.

Es gibt zwei andere Methoden der 2FA-Implementation mit einem Mobilgerät, die sicherer sind: Zum Beispiel kann der Prüfcode über eine sichere App gesendet werden, für die eine starke Verschlüsselung verwendet wird. Google und viele andere großen Internetdienste setzen zeitbasierte Einmalkennwörter (Time-Based One-Time Passwords oder TOTP) ein. Mit TOTP erstellt ein Client (oft eine APP auf einem Smartphone) einen temporären Code für einmalige Verwendung basierend auf der Tageszeit. Diese Codes haben eine extrem kurze Lebensdauer, gewöhnlich weniger als eine Minute. Dieser kurze Zeitraum macht es einem Angreifer extrem schwer, den Code abzufangen und zu entschlüsseln, bevor er verfällt.

Es gibt auch eine neue 2FA-Technologie mit der Bezeichnung „Sound-Proof“, bei der Umgebungsgeräusche verwendet werden, die von den in Mobilgeräten und Laptops eingebauten Mikrophonen aufgenommen werden. Sound-Proof vergleicht dann die Geräuschproben, um sicherzustellen, dass sich beide Geräte im selben Raum befinden.

Gibt es Nachteile bei der Zwei-Faktor-Authentifizierung?

Obwohl 2FA mithilft, das Internet sicherer zu machen, gibt es einige Nachteile, die berücksichtigt werden sollten. Zum Beispiel kann 2FA weniger technisch versierte Benutzer abschrecken, für die das Herunterladen und die Navigation von Verifizierungs-Apps auf Smartphones ein Problem darstellen kann.

Wenn 2FA für einen Dienst verlangt wird, können dadurch auch wirtschaftliche Hindernisse entstehen. Nicht alle Benutzer haben die modernen Smartphones, die für viele 2FA-Methoden erforderlich sind. Darüber hinaus sind mobile Daten in manchen Teilen der Welt sehr teuer, so dass sogar Personen mit Smartphones wirtschaftliche Konsequenzen erleiden können, wenn sie eine 2FA-Verifizierungs-App herunterladen.

2FA erlegt außerdem den Verwaltern des Dienstes Geschäftskosten auf. 2FA ist viel schwerer zu implementieren als reine Passwort-Authentifizierung, und ein Unternehmen, das 2FA anbietet, muss entweder die Kosten für den Setup tragen oder einen Drittanbieter bezahlen, um die Authentifizierung zu laufenden Kosten zu übernehmen. Kleinere Unternehmen verzichten eventuell auf die erhöhte Sicherheit von 2FA, weil sie es sich einfach nicht leisten können, es zu unterstützen.