Was ist Zwei-Faktor-Authentifizierung? | Erklärung der zweistufigen Überprüfung

Bei Zwei-Faktor-Authentifizierung (2FA) muss ein Benutzer seine Identität auf zwei unterschiedliche Arten beweisen, bevor ihm Zugriff gewährt wird.

Share facebook icon linkedin icon twitter icon email icon

Zwei-Faktor-Authentifizierung

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Definieren Sie Zwei-Faktor-Authentifizierung
  • Geben Sie Beispiele von Authentifizierungsfaktoren
  • Untersuchen Sie die Nachteile von 2FA

Was ist Zwei-Faktor-Authentifizierung?

Zwei-Faktor-Authentifizierung, abgekürzt als 2FA, ist ein Authentifizierungsvorgang, bei dem zwei unterschiedliche Authentifizierungsfaktoren zur Bestätigung der Identität erforderlich sind. Kurz gesagt bedeutet das, dass von einem Benutzer verlangt wird, seine Identität auf zwei unterschiedliche Arten zu beweisen, bevor ihm Zugriff gewährt wird.

Was ist Authentifizierung?

Authentifizierung ist eine wichtige Komponente der Zugriffssteuerung. Dabei handelt es sich um eine Sicherheitspraxis, bei der bestätigt wird, dass jemand der ist, der er zu sein vorgibt. Ein Beispiel hierfür wäre ein Reisender, der einem Zollbeamten seinen Reisepass zeigt.

Im Bereich der Cybersicherheit ist das gewöhnlichste Beispiel einer Authentifizierung die Anmeldung bei einem Webdienst wie z. B. die Anmeldung bei Gmail in einem Webbrowser oder die Anmeldung in der Facebook-App. Wenn ein Benutzer eine Kombination aus Benutzername und Kennwort eingibt, kann der Dienst diese Angaben bestätigen und zur Authentifizierung des Benutzers verwenden.

Was ist ein Authentifizierungsfaktor?

Authentifizierungsfaktoren sind unterschiedliche Klassen von Methoden zur Identitätsüberprüfung. Einige häufig verwendete Authentifizierungsfaktoren für 2FA umfassen:

  • Wissen: Dabei handelt es sich um eine Information, die nur der Benutzer kennen sollte, z. B. ein Kennwort oder die Antwort auf eine Sicherheitsfrage.
  • Besitz: Dieser Faktor beruht darauf, dass der Benutzer im physischen Besitz eines Objekts ist. Das kann zum Beispiel ein Hardwareschlüssel sein, der Kennungen erstellen kann, oder ein Mobilgerät, an das Codes gesendet werden können.
  • Biometrische Daten: Dabei handelt es sich um einzigartige biologische Merkmale des Benutzers, die zur Authentifizierung verwendet werden können. Beispiele umfassen Fingerabdrücke, Netzhautscans und Gesichtserkennung.
  • Standort: Standort-basierte Tools wie GPS können verwendet werden, um die Authentifizierung auf Benutzer innerhalb einer bestimmten geographischen Region einzuschränken.

Es ist zu beachten, dass es sich nicht um 2FA handelt, wenn zwei Instanzen desselben Authentifizierungsfaktors verlangt werden. Wenn zum Beispiel ein Kennwort und die Beantwortung einer Sicherheitsfrage verlangt werden, ist das immer noch Ein-Faktor-Authentifizierung, denn beide Eingaben beziehen sich auf den Wissens-Faktor.

Wie funktioniert Zwei-Faktor-Authentifizierung?

Ein gewöhnliches Beispiel von 2FA ist die Überprüfung von Benutzername/Kennwort und eine Kontrolle per SMS. Wenn der Benutzer in diesem Beispiel ein Konto für einen Dienst anlegt, muss er einen eindeutigen Benutzernamen, ein Kennwort und seine Handynummer hinterlegen.

Wenn der Benutzer sich bei diesem Dienst anmeldet, gibt er seinen Benutzernamen und sein Kennwort an. Das ist der erste Authentifizierungsfaktor (Wissen – der Benutzer hat bewiesen, dass er seine eindeutigen Anmeldeinformationen kennt). Als Nächstes sendet der Dienst dem Benutzer eine automatisierte SMS mit einem numerischen Code, woraufhin der Benutzer aufgefordert wird, diesen Code einzugeben. Vorausgesetzt, dass der Code richtig ist, hat der Benutzer einen zweiten Authentifizierungsfaktor vorgelegt (Besitz – der Benutzer ist im Besitz seines Mobilgeräts). Jetzt wurden die Bedingungen für 2FA erfüllt, und der Benutzer kann authentifiziert werden und Zugriff zu seinem Konto erhalten.

Warum wird Zwei-Faktor-Authentifizierung verwendet?

Password-basierte Sicherheit kann mittlerweile von Angreifern zu leicht ausgenutzt werden. Mit der Verbreitung von betrügerischen Phishing-Versuchen, Man-in-the-Middle-Angriffen, Brute-Force-Angriffen und Kennwortwiederverwendung ist es für Angreifer zunehmend einfacher geworden, gestohlene Anmeldeinformationen zu sammeln. Diese gestohlenen Informationen können getauscht oder verkauft werden, um in Credential-Stuffing-Angriffen verwendet zu werden. Aus diesem Grund wird 2FA immer häufiger.

Stronger identity verification has also increased in importance as remote workforces become more common. Many company employees no longer come into the office and instead work remotely. Since their physical presence in the office cannot be used to verify their identity, measures like 2FA help ensure that their accounts have not been compromised.

Sicherheitsexperten empfehlen im Allgemeinen, dass Benutzer 2FA wann immer möglich aktivieren und es auch von Diensten verlangen sollten, die vertrauliche Benutzerdaten handhaben, aber gegenwärtig keine 2FA anbieten. Obwohl 2FA für Angreifer nicht unmöglich zu knacken ist, ist es doch wesentlich schwieriger und teurer zu kompromittieren als eine rein Kennwort-gestützte Authentifizierung.

Ist SMS-basierte Zwei-Faktor-Authentifizierung sicher?

SMS-basierte 2FA (Überprüfung per Textnachricht) ist viel sicherer als Ein-Faktor-Authentifizierung (ausschließlich per Kennwort). Abgesehen davon gehört SMS jedoch zu den am wenigsten sicheren 2FA-Methoden. Das SMS-Protokoll ist nicht sehr sicher, und SMS-Nachrichten können von Angreifern abgefangen werden.

Es gibt zwei andere Methoden für 2FA mit einem Mobilgerät, die sicherer sind: Zum Beispiel kann der Prüfcode über eine sichere App gesendet werden, für die eine starke Verschlüsselung verwendet wird. Google und viele andere großen Internetdienste setzen zeitbasierte Einmalkennwörter (Time-Based One-Time Passwords oder TOTP) ein. Mit TOTP erstellt ein Client (oft eine APP auf einem Smartphone) einen temporären Code für einmalige Verwendung basierend auf der Tageszeit. Diese Codes haben eine extrem kurze Lebensdauer, gewöhnlich weniger als eine Minute. Dieser kurze Zeitraum macht es einem Angreifer extrem schwer, den Code abzufangen und zu entschlüsseln, bevor er verfällt.

Es gibt auch eine neue 2FA-Technologie mit der Bezeichnung „Sound-Proof“, bei der Umgebungsgeräusche verwendet werden, die von den in Mobilgeräten und Laptops eingebauten Mikrophonen aufgenommen werden. Sound-Proof vergleicht dann die Geräuschproben, um sicherzustellen, dass sich beide Geräte im selben Raum befinden.

Gibt es Nachteile bei der Zwei-Faktor-Authentifizierung?

Obwohl 2FA mithilft, das Internet sicherer zu machen, gibt es einige Nachteile, die berücksichtigt werden sollten. Zum Beispiel kann 2FA weniger technisch versierte Benutzer abschrecken, für die das Herunterladen und die Navigation von Verifizierungs-Apps auf Smartphones ein Problem darstellen kann.

Wenn 2FA für einen Dienst verlangt wird, können dadurch auch wirtschaftliche Hindernisse entstehen. Nicht alle Benutzer haben die modernen Smartphones, die für viele 2FA-Methoden erforderlich sind. Darüber hinaus sind mobile Daten in manchen Teilen der Welt sehr teuer, so dass sogar Personen mit Smartphones wirtschaftliche Konsequenzen erleiden können, wenn sie eine 2FA-Verifizierungs-App herunterladen.

2FA erlegt außerdem den Verwaltern des Dienstes Geschäftskosten auf. 2FA ist viel schwerer zu implementieren als reine Passwort-Authentifizierung, und ein Unternehmen, das 2FA anbietet, muss entweder die Kosten für den Setup tragen oder einen Drittanbieter bezahlen, um die Authentifizierung zu laufenden Kosten zu übernehmen. Kleinere Unternehmen verzichten eventuell auf die erhöhte Sicherheit von 2FA, weil sie es sich einfach nicht leisten können, es zu unterstützen.