Was ist eine Zwei-Faktor-Authentifizierung?

Datenschutzverstöße treten heutzutage immer häufiger auf und haben alarmierende Auswirkungen auf Unternehmen weltweit. Der verursachte Schaden beläuft sich derzeit auf über 2 Billionen US-Dollar pro Jahr. Während Unternehmen daran arbeiten, ihre digitale Infrastruktur und ihre Vermögenswerte zu sichern, wird deutlich, dass die Ein-Faktor-Authentifizierung (und insbesondere die passwortbasierte Authentifizierung) bei weitem nicht ausreicht. Passwörter können leicht kompromittiert werden, insbesondere aufgrund mangelnder Passworthygiene, aber auch, weil sie selten geändert, für mehrere verschiedene Konten verwendet, häufig weitergegeben und oft an einem ungesicherten Ort gespeichert werden.

Das Hinzufügen eines zweiten Faktors zur Benutzerauthentifizierung ist heute in fast jedem Anwendungsfall in Unternehmen erforderlich.

Die Zwei-Faktor-Authentifizierung bietet einen zusätzlichen Schutz gegen viele der gängigsten Arten von Cyber-Bedrohungen, unter anderem:

• Gestohlene Passwörter: Wie bereits erwähnt, ist es aufgrund mangelnder Passworthygiene oft ein Leichtes, Passwörter zu stehlen. 2FA stellt sicher, dass ein gestohlenes Passwort nicht ausreicht, um in ein Konto einzudringen.
• Brute-Force-Angriffe (Passwort-Hacking): Hacker nutzen die immer leichter verfügbare Rechen­leistung, um Passwörter nach dem Zufallsprinzip zu generieren, bis sie den Code „knacken“. Aber die Rechenleistung kann einen zweiten Faktor nicht aushebeln.
• Phishing: Phishing ist nach wie vor eine der häufigsten und effektivsten Methoden zum Diebstahl von Benutzeranmeldedaten. Auch hier schützt 2FA vor unbefugtem Zugriff, falls ein Benutzername und ein Passwort durch einen Phishing-Angriff gestohlen werden.
• Social Engineering: Clevere Hacker nutzen zunehmend soziale Medien, um Angriffe zu starten, bei denen die Benutzer dazu gebracht werden, ihre Anmeldedaten preiszugeben. Aber ohne den zweiten Faktor kann der Hacker nicht auf das Konto zugreifen.

Der grundlegende 2FA-Anmeldevorgang ist inzwischen fast jedem bekannt. Auch wenn die Details je nach den verwendeten Faktoren unterschiedlich sind, läuft das Verfahren im Wesentlichen wie folgt ab:

1. Die Anwendung/Website fordert den Benutzer auf, sich anzumelden.
2. Der Benutzer gibt den ersten Faktor an. Bei diesem ersten Faktor handelt es sich fast immer um etwas, das der Benutzer „weiß“, z. B. die Kombination aus Benutzername und Passwort oder einen einmaligen Zugangscode, der von einem Hardware-Token oder einer Smartphone-App generiert wurde.
3. Die Website/App validiert den ersten Faktor und fordert dann den Benutzer auf, den zweiten Faktor anzugeben. Bei diesem zweiten Faktor handelt es sich in der Regel um etwas, das der Benutzer „hat“, z. B. ein Sicherheits-Token, eine ID-Karte, eine Smartphone-App usw.
4. Sobald die Website/App den zweiten Faktor validiert hat, wird dem Benutzer der Zugriff gewährt.

Authentifikatoren und Authentifizierungstoken umfassen vier Hauptkategorien: etwas, das Sie haben, etwas, das Sie wissen, etwas, das Sie sind, oder wo Sie sind.

• Etwas, das Sie haben: physische Zugangskarte, Smartphone bzw. anderes Gerät oder digitales Zertifikat
• Etwas, das Sie wissen: Pin-Code oder Passwort
• Etwas, das Sie sind: biometrische Daten wie Fingerabdrücke oder Netzhautscans

Die klassische Kombination aus Benutzername und Passwort ist technisch gesehen eine rudimentäre Form der Zwei-Faktor-Authentifizierung. Da aber sowohl der Benutzername als auch das Passwort in die Kategorie „etwas, das Sie wissen“ fallen, ist diese Kombination leichter zu knacken.

Hardware-Token

Hardware-Token sind kleine physische Geräte, die Benutzer vorlegen, um Zugang zu einer Ressource zu erhalten. Hardware-Tokens können angeschlossen (z. B. USB, Smartcard, Schlüsselanhänger mit Einmalpasswort) oder kontaktlos (z. B. Bluetooth-Tokens) sein. Diese Token werden vom Benutzer mitgeführt. Die allererste Form der modernen 2FA, die 1993 von RSA eingeführt wurde, bestand aus einem Handgerät mit einem winzigen Bildschirm, auf dem zufällig generierte Zahlen angezeigt wurden, die mit einem Algorithmus abgeglichen wurden, um den Besitzer des Geräts zu validieren. Aber auch Hardware-Token können verloren gehen oder gestohlen werden.

SMS-basierte Token

Mit der zunehmenden Verbreitung von Mobiltelefonen wurde die SMS-basierte 2FA schnell populär. Der Benutzer gibt seinen Benutzernamen ein und erhält dann einen einmaligen Zugangscode (One-Time Password, OTP) per SMS. Eine ähnliche Option besteht aus einem Sprachanruf an ein Mobiltelefon zur Übermittlung des OTP. In beiden Fällen ist die Übermittlung des OTP relativ leicht zu hacken, weshalb diese Form der 2FA nicht ideal ist.

App-basierte Token

Mit der verstärkten Nutzung von Smartphones und anderen intelligenten mobilen Geräten ist die App-basierte 2FA sehr beliebt geworden. Die Benutzer installieren eine App auf ihrem Gerät (die Installation auf einem Desktop-PC ist ebenfalls möglich). Bei der Anmeldung liefert die App ein „Soft-Token“, z. B. ein OTP, das auf dem Gerät angezeigt wird und auf dem Anmeldebildschirm eingegeben werden muss. Da das Soft-Token von der App auf dem Gerät generiert wird, besteht kein Risiko, dass das OTP oder Soft-Token bei der Übertragung abgefangen wird.

Push-Benachrichtigungen

Die 2FA via Push-Benachrichtigung ist aus Sicht des Benutzers wohl die nahtloseste und bequemste Variante. Statt aufgefordert zu werden, ein Soft-Token einzugeben, erhält der Benutzer über eine Website oder App eine Push-Benachrichtigung direkt auf sein mobiles Gerät. Die Benachrichtigung informiert den Benutzer über den Authentifizierungsversuch und fordert ihn auf, den Zugriff mit einem einzigen Klick oder durch Antippen zu genehmigen oder zu verweigern. Diese 2FA-Methode ist sehr sicher und äußerst bequem, erfordert jedoch eine Internetverbindung.

Passwortlose Authentifikatoren

Die Arten der verfügbaren Authentifikatoren haben sich weiterentwickelt und umfassen nun auch passwortlose Optionen wie FIDO, Biometrie und PKI-basierte digitale Berechtigungsnachweise für die Authentifizierung.

2FA gegenüber MFA: Was ist der Unterschied?

Bei der Zwei-Faktor-Authentifizierung (2FA) müssen die Benutzer zwei Arten der Authentifizierung vorweisen, während bei der Multi-Faktor-Authentifizierung (MFA) mindestens zwei, wenn nicht sogar mehr Arten der Authentifizierung erforderlich sind. Jede 2FA ist also eine MFA, aber nicht jede MFA ist eine 2FA. Während bei der Multi-Faktor-Authentifizierung eine beliebige Kombination von Authentifi­katoren und Authentifizierungstoken erforderlich sein kann, um Zugang zu einer Ressource, Anwendung oder Website zu erhalten, sind bei der 2FA-Authentifizierung nur zwei vordefinierte Authentifikatoren erforderlich, um auf diese Ressource zuzugreifen. Je nach den Anforderungen Ihres Unternehmens kann die 2FA-Authentifizierung die vom Unternehmen angestrebte Sicherheit erhöhen und gleichzeitig ein reibungsloses Erlebnis für die Endbenutzer ermöglichen.

Die verschiedenen Arten von Faktoren, die für die Zwei-Faktor-Authentifizierung verwendet werden können, wurden bereits oben erläutert. Aber auch innerhalb der einzelnen Arten von Authentifikatoren gibt es viele verschiedene Optionen − und es kommen ständig neue Technologien auf den Markt. Wie entscheiden Sie, welche Faktoren für Ihr 2FA-Protokoll am besten geeignet sind? Im Folgenden finden Sie einige Fragen, die Ihnen bei der Auswahl helfen können:

• Soll die Authentifizierung für den Benutzer transparent sein?
• Soll der Benutzer ein physisches Gerät verwenden oder sich online authentifizieren?
• Soll die Website sich auch beim Benutzer authentifizieren?
• Wie sensibel sind die geschützten Informationen, und welche Risiken sind mit ihnen verbunden?
• Soll der physische Zugang zu Büros, Laboren oder anderen Bereichen eingeschränkt werden?

Entrust bietet eine fachkundige Anleitung zur Erhöhung Ihrer Sicherheit mit einer hochsicheren zuverlässigen Multi-Faktor-Authentifizierung. Wir unterstützen die größte Auswahl an Sicherheits­authentifikatoren für 2FA, sodass Sie leicht die beste Option für Ihre Sicherheitsanforderungen und Anwendungsfälle wählen können. Noch wichtiger ist, dass Entrust Sie bei der Auswahl der richtigen Option(en) fachkundig und beratend unterstützt und Ihnen die Umstellung auf eine hochsichere Zwei-Faktor-Authentifizierung erleichtert.

Die Zwei-Faktor-Authentifizierung ist die am weitesten verbreitete Form der Multi-Faktor-Authenti­fizierung und eignet sich daher hervorragend für Anwendungsfälle, in denen mehrere Personen Zugriff auf Daten benötigen. So wird beispielsweise in Anwendungen des Gesundheitswesens häufig 2FA eingesetzt, da es Ärzten und anderen Medizinern ermöglicht, bei Bedarf auf sensible Patientendaten zuzugreifen, auch von persönlichen Geräten aus.

Ebenso können 2FA-Bank- und Finanzanwendungen dazu beitragen, Kontoinformationen vor Phishing- und Social-Engineering-Angriffen zu schützen und gleichzeitig mobiles Banking für Verbraucher zu ermöglichen.

Industrieanwendungen für 2FA:

• Gesundheitswesen
• Banking
• Einzelhandel
• Hochschulbildung
• Soziale Medien
• Regierungs-/Bundesinstitutionen

Was sind die Bedrohungen/Risiken bei der Zwei-Faktor-Authenti­fizierung?

Es gibt verschiedene Ansätze, mit denen Hacker versuchen, MFA und 2FA zu unterlaufen. Dazu gehören:

• Social Engineering: Bei einem Social-Engineering-Angriff geben sich die Hacker als seriöse Quelle aus und fragen nach persönlichen Daten.
• Technische Angriffe: Zu den technischen Angriffen gehören Malware und Trojaner.
• Physischer Diebstahl: Der physische Besitz eines Smartphones oder eines anderen mobilen Geräts durch einen bösartigen Akteur kann eine Bedrohung für die 2FA darstellen.
• Unterwanderung der Kontowiederherstellung: Da das Zurücksetzen von Passwörtern oft die 2FA umgeht, benötigen Hacker manchmal nur einen Benutzernamen, um die 2FA zu umgehen.

2FA stellt einen großen Fortschritt gegenüber der Ein-Faktor-Authentifizierung dar, insbesondere gegenüber der traditionellen passwortbasierten Authentifizierung, die leicht durch menschliches Versagen gefährdet werden kann. Sie ist zwar sicher genug, aber die Multi-Faktor-Authentifizierung (MFA) gilt heute als die De-facto-Lösung für die Authentifizierung von Benutzern. Auch Compliance-Anforderungen wie PCI DSS haben 2FA durch MFA ersetzt und staatliche Einrichtungen schreiben MFA für alle Bundesinstitutionen vor. Mit MFA besteht die Möglichkeit, weitere Formfaktoren (keine Passwörter) hinzuzufügen, um die Sicherheit zu erhöhen. Die Verwendung biometrischer Daten für die Benutzerauthentifizierung in Kombination mit der Geräteüberprüfung und dem Hinzufügen risikobasierter kontextbezogener Kontrollen ermöglicht eine Bewertung der Risikolage des Benutzers und des Geräts, bevor Zugang gewährt wird. MFA mit passwortlosen Optionen und risikobasierter adaptiver Authentifizierung ist der Weg zu mehr Sicherheit.

Was sind die gängigsten Authentifikatoren/Authentifizierungstoken?