Multi-Faktor-Authentifizierung: Methoden und Dienstleister

Dass die Benutzername-Passwort-Kombination nicht der bestmöglichen Sicherheit dient, ist weithin bekannt. Alternativen sind da, auch aus der Cloud.

Artikel verschenken

2

26.04.2019, 08:51 Uhr

Lesezeit: 12 Min.

iX Magazin

Von

Jürgen Seeger

Multi-Faktor-Authentifizierung: Methoden und Dienstleister
- Smartphones oder Spezial-Hardware
Zeit- oder ereignisbasierter Code
Komplettlösung für alles: Enterprise-IAM

Artikel in iX 5/2019 lesen

Eigentlich ist es jedem klar: Wer sich nur auf die Sicherheit seiner Passwörter verlässt, hat über kurz oder lang verloren. Diese Binsenweisheit ist zwar seit Jahrzehnten bekannt – schon 1986 brachte RSA sein SecurID-System auf den Markt, einen Codegenerator für ein temporäres zweites Passwort und somit eine erste Implementierung einer Zwei-Faktor-Authentifizierung (2FA).

Doch eine breitere Akzeptanz für diese Methode gibt es erst in letzter Zeit. Denn zum einen bieten mittlerweile immer mehr weithin genutzte Dienste, von Amazon über Google und Microsoft bis PayPal, die Zwei-Faktor-Authentifizierung an. Und zum andern dient als Faktor "Besitz" das Smartphone. Es bedarf also keiner weiteren Anschaffung von Kartenlesern oder anderer spezieller Hardware mehr. Die genannten Anbieter setzen auf eine kostengünstige, schnell verfügbare Kombination von Besitz und Wissen – eine Smartphone-App generiert einen temporär gültigen Schlüssel, der beim Login-Vorgang zusätzlich zum Passwort angegeben werden muss.

Dieses Token wird dem Account während eines Initialisierungsvorgangs fest zugeordnet. Den Code, das sogenannte One-Time-Passwort (OTP), generiert eine App wie Google Authenticator oder Microsoft Authenticator. Noch wird stattdessen gelegentlich ein Code per SMS verschickt. Das funktioniert zwar auch mit einem Mobiltelefon aus dem letzten Jahrhundert, ist aber nicht sehr sicher. Denn die zugeordnete Mobilfunknummer, an die der Code geschickt wird, kann per VoIP nur vorgetäuscht sein, wie das National Institute for Standards and Technology (NIST) schon 2016 warnte. Dies gilt sinngemäß auch für mittels E-Mail verschickte Codes, da auch hier der Faktor "Besitz" (des Empfangssystems) vorgetäuscht sein kann.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

openDesk: Hat die staatliche Microsoft-Alternative eine Chance?

Die Bundesregierung finanziert eine Open-Source-Office-Suite, um den Staat aus der Abhängigkeit von Microsoft zu befreien. Doch das Projekt ist gefährdet.

Volvo EX30 im Test: E-Auto mit Android Automotive

Volvos EX30 macht einiges anders und besser als andere Stromer und auch das Preis-Leistungs-Verhältnis ist gut. Einige Kleinigkeiten trüben aber den Spaß.

Mit der Baureihe G60 bietet BMW den 5er erstmals auch als reines Elektroauto an.

UpdateWas 100 Kilometer mit dem Elektroauto wirklich kosten

Wer die Fahrtkosten auf den Verbrauch reduziert, unterschlägt den größten Teil der tatsächlichen Ausgaben. Das zeigt der Vergleich von zwölf Modellen.

Windows on ARM: Zehn Notebooks mit Copilot+ und Snapdragon X im Vergleichstest

Die ersten Windows-Notebooks, die Microsofts KI-Vision hinsichtlich Copilot+ entsprechen, drücken in den Markt. Wir haben die Geräte ausführlich getestet.

Rückgang von THG-Prämien: Betrügereien auf Kosten von E-Auto-Besitzern

Wer abgasfrei mit dem E-Auto fährt, profitiert von CO2-Ausgleichszahlungen der Mineralölkonzerne. Die Höhe der jährlich ausgeschütteten THG-Prämie fällt jedoch.

VanMoof S5 im Test: Smartes E-Bike mit Hollandrad-Feeling

Das VanMoof S5 tritt als entspanntes E-Bike mit starkem Motor und gemütlichem Fahrgefühl an. Wir haben die überarbeitete Version des Cruisers getestet.

Fahrrad zum E-Bike aufrüsten

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}