Zwei-Faktor-Authentifizierung: Doppelt hält besser

  • Beitrag vom 19.12.2019

Passwörter haben einen schlechten Ruf – zu Recht. Die Authentifizierung mit mehreren Faktoren erhöht die Sicherheit in sensiblen Bereichen deutlich.

Der heute übliche Schutz von Daten und Identitäten mit Passwörtern ist wenig praktikabel und vor allem: unsicher. Unter Security-Experten gelten Passwörter als das schwächste Glied in der Sicherheitskette von Unternehmen. Das hat mehrere Gründe. Mitarbeiter müssen sich oft Dutzende von komplizierten Codes merken, was für viele belastend ist. Sie neigen deshalb dazu, zu kurze oder leicht zu erratende Passwörter zu verwenden. Die sind dann allerdings nicht mehr besonders sicher. Dass sich zum Beispiel die Zahlenfolge „123456“ als Passwort großer Beliebtheit erfreut – wie Studien immer wieder bestätigen – bleibt auch vielen Kriminellen nicht verborgen.

Zu kurze und leicht zu erratende Passwörter lassen sich zwar IT-seitig unterbinden. Viele Unternehmen zwingen ihre Mitarbeiter, Mindestlängen bei Passwörtern einzuhalten und Sonderzeichen zu verwenden. Doch dann gibt es wieder das Problem der kognitiven Komplexität. Acht- oder zehnstellige Passwörter mit Sonderzeichen kann sich niemand merken. Die Folge ist dann oft, dass der Nutzer das gleiche Passwort in verschiedenen Situationen verwendet – für die Anmeldung an Windows, am Lohnsystem oder den Zugriff auf eine authentifizierte Website. Dies macht es Angreifern wiederum einfach, gleich in mehrere Systeme einzudringen.

Wie man es dreht und wendet: Achtstellige Passwörter, die nie oder alle paar Monate geändert werden, haben vielleicht vor zehn Jahren funktioniert. Aber zunehmend darauf abzielende Angriffsmethoden wie das Knacken von Passwörtern, Phishing oder Screen-Scraping machen einen wirksameren Identitätsschutz notwendig.

 

 2FA – Sicherer als Passwort

Eine elegante und nachhaltige Lösung für das Passwort-Dilemma ist die Zwei-Faktor-Authentifizierung. Bei der Zwei-Faktor-Authentifizierung (2FA) wird die Identität eines Nutzers über die Kombination von zwei unabhängigen Komponenten nachgewiesen. Die Faktoren können etwas sein,

  • was der Nutzer weiß,
  • was er besitzt,
  • oder was untrennbar zu ihm gehört.

Banken zum Beispiel nutzen dieses Verfahren schon lange bei Geldautomaten. Erst die Kombination aus EC- oder Kreditkarte (1. Faktor = Besitz) plus PIN (2. Faktor = Wissen) ermöglicht die Transaktion.

Die Zwei-Faktor-Authentifizierung ist nur dann erfolgreich, wenn beide benötigten Faktoren zusammen eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet wird der Zugriff verweigert. Wichtig ist, dass die Faktoren dabei aus verschiedenen Kategorien stammen, also eine Kombination aus Wissen (z.B. Passwort, PIN), Besitz (z.B. Chipkarte, Smartphone) oder anderen Merkmalen verwendet wird.

Die praktische Umsetzung der 2FA erfolgt in zahlreichen Varianten. Eine Standard-2FA-Methode besteht darin, einen Passcode (=Wissen) auf das Smartphone des Benutzers (=Besitz) zu schicken. Eine neuere Methode ist, statt des Passcodes ein biometrisches Merkmal als Teil der Zwei-Faktor-Authentifizierung zu verwenden.

Weil biometrische Merkmale, die etwa über einen Iris-Scanner erfasst werden, eindeutig einer Person zugeordnet sind, kann nur die berechtige Person auf das Mobilgerät zugreifen. Ein solcher Scanner kann den berechtigen User erkennen, selbst wenn er eine Brille oder Kontaktlinsen trägt. Da dieses Verfahren schnell und einfach ist, erhöht sie die Benutzerfreundlichkeit bei gleichzeitiger Gewährleistung hoher Sicherheit.

Nach oben hin besteht bei dieser Art der Authentifizierung keine Schranke: Es lassen sich auch drei, vier, fünf und mehr Faktoren für die Identifizierung definieren – man spricht in diesem allgemeineren Fall von Multi-Faktor-Authentifizierung. Die Zwei-Faktor-Authentifizierung ist also ein Spezialfall der Multi-Faktor-Authentifizierung.

 

Auf dem Vormarsch

Inzwischen hat sich die 2FA auf breiterer Basis etabliert. Das hat mehrere Gründe – einer davon sind gesetzliche Vorgaben. So wurde die Zwei-Faktor-Authentifizierung im Bankenwesen mit der EU-Zahlungsdiensterichtlinie für den Europäischen Wirtschaftsraum 2018 verpflichtend eingeführt.

Seit September 2019 müssen Verbraucher bei Kartenzahlung im Internet immer zwei Nachweise erbringen. Die Banken stellen den Karteninhabern hierfür neue Authentifizierungslösungen zur Verfügung, die unter anderem auch neue biometrische Identifikationsverfahren unterstützen – zum Beispiel per Fingerabdruck oder Gesichtserkennung.

Auch Online-Dienstleister wie Amazon, Google, Dropbox oder Facebook haben 2FA eingeführt – wenn auch oft nicht verpflichtend. Zur Nutzung von Google-Diensten wie Gmail oder Google Docs beispielsweise bietet der kalifornische Konzern mehrere 2FA-Optionen an: Telefonanruf mit Computerstimme, SMS, die Google Authenticator-App, sowie ein Token. Auch ein Großteil der Microsoft-Dienste wie OneDrive bietet die Möglichkeit, sie per Zwei-Faktor-Authentifizierung abzusichern.

 

Sensible Unternehmensbereiche sichern

Im Online-Commerce wehrten sich viele Händler gegen die 2FA mit der Begründung, dies würde die Identitätsprüfung verkomplizieren und Kunden abschrecken. Doch dieses Argument ist mit der Etablierung von Smartphones und biometrischen Erkennungsmerkmalen obsolet geworden. Um die Identität zu bestätigen und den Bezahlvorgang freizugeben, reichen der Besitz des Smartphones (1. Faktor) sowie das notwendige Entsperren des Handys mittels PIN oder Fingerabdruck (2. Faktor) aus. Damit bleibt das mobile Einkaufen schnell und bequem und bietet gleichzeitig einen sehr wirkungsvollen Schutz.

Besonders wichtig kann die 2FA in sensiblen Unternehmensbereichen sein. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in seinen IT-Grundschutz-Katalogen für sicherheitskritische Anwendungsbereiche die Zwei-Faktor-Authentifizierung. Bestimmte Software oder Geräte wie Mobil Devices können IT-Verantwortliche so konfigurieren, dass ein Mitarbeiter seine Befugnis mit zwei Faktoren nachweisen muss.

In hochsensiblen Bereichen wie dem Zugang zum Data Center sollten weitere Faktoren eingeführt werden. Jeder zusätzliche Authentifizierungsfaktor erhöht die Sicherheit um den Faktor 10. Die IT-Abteilung kann so eine beliebige Kombination von Faktoren benutzen, die ihren Sicherheitsanforderungen entspricht. Auf diese Weise können Zwei – und Multi-Faktor-Authentifizierung identitätsbasierte Sicherheitsangriffe gut verhindern.

Mehr zum Thema:

Recomended by Cloud Innovationen

1_2faktorauthetifizierung michel-stockman-zRdZ9ypvSCg-unsplash
Zwei-Faktor-Authentifizierung: Doppelt hält besser
1_lock-3216823_1920
Wachstumsmarkt: Cloud-Sicherheitstechnologien
1_Cloud-Provider—Sicherhe
Cloud-Sicherheit: Das fordern Anwender von Providern
Cloud_23.10.2019_kleiner
Webcast: So schützen Sie Ihre Firma in der Public Cloud
1_technology-3389904_1920_p
2020: Die Zukunft der Künstlichen Intelligenz
2_Not_All_Clouds_Are_Create
Darum entwickelt sich die IT-Landschaft Richtung Cloud
1_tasks-4026398_1920_Pixaba
Multi-Cloud und IT-Portfoliomanagement: Anforderungen an die IT
1_dsgvo-3589608_1920_pixaba
Trotz DSGVO: Kundendaten unumschränkt nutzen
1_chess-1483735_1920
Die richtige Strategie für die Cloud-Migration
1_unite-lifestyle-laptops-on-
Wie Firmen von Workplace as a Service profitieren