Definition

Zwei-Faktor-Authentifizierung

Diese Definition ist Teil unseres Essential Guides: IT-Sicherheit: Cloud-Nutzung, Benutzerkonten und Datenschutz im Griff behalten

Die Zwei-Faktor-Authentifizierung ist eine Sicherheitsprozedur, bei der ein Anwender zwei unterschiedliche Merkmale bereitstellt, um sich zu identifizieren. Eines der Merkmale ist meist ein physischer Token, wie eine Karte, während das andere beispielsweise ein Sicherheitscode ist, den sich der Anwender merken muss.

In diesem Zusammenhang wird von den beiden Merkmalen gelegentlich als von etwas gesprochen, das „man hat“ und etwas, das „man weiß”. Ein typisches Beispiel für eine Zwei-Faktor-Authentifizierung sind Smartcards: Die Karte selbst ist der physische Gegenstand, während die PIN (persönliche Identifizierungsnummer) die dazugehörige Information ist. Die Kombination beider macht es einer fremden Person schwieriger, auf das Bankkonto des Nutzers zuzugreifen, weil dazu beide Elemente benötigt werden, also der physische Gegenstand sowie die PIN.

Nach Ansicht ihrer Befürworter kann die Zwei-Faktor-Authentifizierung das Auftreten von Identitätsdiebstahl, Phishing-Angriffen und anderen Online-Betrugsversuchen massiv reduzieren, weil es nicht ausreicht, das Zugangsgerät des Opfers zu klauen. Der Dieb benötigt auch die dazugehörige Information, eben beispielsweise die PIN – oder umgekehrt.

 Was sind Authentifizierungsfaktoren?

 Ein Authentifizierungsfaktor ist ein unabhängiges Merkmal, das zur Überprüfung einer Identität verwendet wird. Die drei häufigsten Komponenten werden häufig als etwas beschrieben, das man weiß (Wissens-Faktor), das man besitzt (Haben-Faktor) und das man ist (Sein-Faktor). Darüber hinaus gibt es Systeme mit erweiterten Anforderungen, bei denen sowohl der Ort als auch die Zeit als vierter und fünfter Faktor hinzugefügt werden.

Die Ein-Faktor-Authentifizierung basiert auf nur einer einzigen verwendeten Komponente, um jemanden zu identifizieren. Das häufigste Beispiel dafür ist die Kombination aus Benutzername und Passwort (etwas, das nur der Anwender weiß). Die Sicherheit der Ein-Faktor-Authentifizierung beruht bis zu einem gewissen Grad auf der Gewissenhaftigkeit der Anwender. Dazu gehören die Wahl starker Passwörter und der Verzicht auf automatische Logins wie etwa das Einloggen mithilfe sozialer Netzwerke.

Bei jeglichen Systemen oder Netzwerken, die sensible Daten enthalten, ist es ratsam, weitere Authentifizierungsfaktoren hinzuzufügen. Multi-Faktor-Authentifizierungen setzen auf zwei oder mehr Merkmale, um die Sicherheit zu erhöhen.

Ein-Faktor-Authentifizierung vs. Zwei-Faktor-Authentifizierung

Obwohl Benutzernamen und Passwörter zwei Merkmale sind, gehören sie doch zu demselben Authentifizierungsfaktor (Wissen), sie sind also eine Ein-Faktor-Authentifizierung. Es liegt an ihren geringen Kosten, der einfachen Implementierung und ihrem Bekanntheitsgrad, dass Passwörter bis heute die häufigste Form der Ein-Faktor-Authentifizierung sind. Sie sind aber nicht am sichersten. Erweiterte Anforderungen können für mehr Sicherheit sorgen, je nachdem wie sie genutzt werden. So garantieren viele biometrische Identifizierungsverfahren bereits als Standalone-Lösungen für mehr Sicherheit, selbst bei Ein-Faktor-Authentifizierungen.

Ein Problem der Passwort-basierten Authentifizierung ist außerdem, dass sie sowohl Wissen als auch Gewissenhaftigkeit erfordert, um sichere Passwörter zu erstellen und sich zu merken. Passwörter benötigen zudem einen Schutz vor vielen Insider-Gefahren. Dazu gehören achtlos weggeworfene gelbe Zettelchen, alte Festplatten und Social-Engineering-Attacken. Passwörter sind außerdem durch externe Hacker-Angriffe per Brute-Force-, Wörterbuch- oder Rainbow-Table-Attacken bedroht. Vorausgesetzt ein Angreifer hat genug Zeit und Ressourcen, dann kann er Passwort-basierte Systeme normalerweise knacken. Die Zwei-Faktor-Authentifizierung sorgt hier für zusätzliche Sicherheit.

Produkte mit Zwei-Faktor-Authentifizierung

Es gibt zahllose Geräte und Lösungen, die zur Zwei-Faktor-Authentifizierung eingesetzt werden. Sie reichen von Tokens, über RFID-Karten bis zu Smartphone-Apps.

Angebote von bekannten Herstellern:

  • SecurID von RSA ist immer noch weit verbreitet, auch wenn SecurID 2011 gehackt wurde.
  • Microsoft Phonefactor bietet Zwei-Faktor-Authentifizierung zu günstigen Preisen. Für kleine Organisationen mit bis zu 25 Anwendern ist es sogar kostenlos.
  • Dell Defender ist eine Multi-Faktor-Lösung, die biometrische und andere Token-Methoden für komplexe Authentifizierungssysteme bietet.
  • Google Authenticator ist eine App zur Zwei-Faktor-Authentifizierung, die auch mit anderen Seiten oder Diensten zusammenarbeitet.
  • iOS, der iTunes-Store sowie andere Cloud-Dienste von Apple unterstützen ebenfalls eine Zwei-Faktor-Authentifizierung, um die Accounts und Daten der Nutzer zu schützen.

 Zwei-Faktor-Authentifizierung zur mobilen Identifizierung

Apple iOS, Google Android und Blackberry OS 10 sind mit Apps ausgestattet, die Zwei- sowie Multi-Faktor-Authentifizierung unterstützen. Manche Smartphones haben Bildschirme, die Fingerabdrucke erkennen können, eingebaute Kameras werden zur Gesichts- oder Iriserkennung genutzt und die Mikrofone identifizieren Stimmen. Viele Smartphones erkennen außerdem den aktuellen Standort per GPS. Sprachdienste oder SMS lassen sich ebenfalls als zusätzliche Faktoren verwenden. Darüber hinaus gibt es Apps, die Einmal-Passwörter erstellen können, sodass das Telefon selbst als physisches Gerät dient, das den bereits erwähnten Haben-Faktor abdeckt.

Der Google Authenticator ist so eine Zwei-Faktor-Authentifizierungs-App. Um auf eine Webseite oder einen web-basierten Dienst zuzugreifen, gibt der Anwender seinen Benutzernamen sowie sein Passwort gefolgt von einem One-Time Passcode (OTP) ein. Dieser Passcode wurde als Reaktion auf den Login auf sein vorher verknüpftes Gerät zugestellt. Das sechsstellige Einmal-Passwort ändert sich alle 30 bis 60 Sekunden und dient ebenfalls dazu, den Besitz als Authentifizierungsfaktor zu belegen (Haben-Faktor).

 Smartphones bieten also viele Möglichkeiten für eine Zwei-Faktor-Authentifizierung. Unternehmen können die Methoden auszuwählen, die sich für sie am besten eignen.

 Ist Zwei-Faktor-Authentifizierung sicher?

Kritiker argumentieren unter anderem, dass die Zwei-Faktor-Authentifizierung nicht sicherer als ein Passwort alleine ist. So kann etwa ein Angreifer Passwörter auf einem Rechner ausspähen und dann nutzen, wenn er Zugriff auf den Computer erhält, diesen im abgesicherten Modus hochfährt und so die physischen Authentifizierungsmechanismen umgeht. Das ist aber ein spezieller Fall.

Multi-Faktor-Authentifizierung für sicherere Verbindungen

Manche Sicherheitsprozesse erfordern mittlerweile eine Drei-Faktor-Authentifizierung, die beispielsweise aus einem Hardware-Token, einem Passwort und biometrischen Daten wie Fingerabdrucken oder einer Stimmerkennung bestehen kann.

Einem Angreifer kann es etwa gelingen, einen einzelnen Authentifizierungs-Faktor zu knacken. So kann eine gründliche Suche im Umfeld des Opfers beispielsweise zum Fund eines Mitarbeiterausweises oder einer Benutzerkennung samt zugehörigem Passwort führen, die im Müll gelandet sind. Oder eine unachtsam entsorgte Festplatte enthält eine Passwortdatenbank. Wenn jedoch weitere Faktoren zur Authentifizierung erforderlich sind, steht der Angreifer vor mindestens einer weiteren Hürde, die er umschiffen muss.

Der Großteil der heutigen Angriffe erfolgt über Internetverbindungen. Zwei-Faktor-Authentifizierung kann diese Distanzattacken weit weniger gefährlich machen, weil das reine Knacken des Passworts nicht mehr ausreicht, um Zugriff zu erhalten. Denn es ist sehr unwahrscheinlich, dass der Angreifer auch in den Besitz des physischen Geräts gelangt, das mit dem Benutzer-Account verknüpft ist. Jeder zusätzliche Authentifizierungs-Faktor macht ein System also sicherer. Das liegt daran, dass die einzelnen Faktoren unabhängig voneinander sind. Sollte einer der Faktoren kompromittiert werden, betrifft das die anderen nicht.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Diese Definition wurde zuletzt im Juni 2016 aktualisiert

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

File Extensions and File Formats

Powered by:

ComputerWeekly.de

Close