Zwei-Faktor-Authentifizierung

Was ist 2FA?

Als Authentifizierung gilt ein Verfahren zum Nachweis einer Identität um Zugang zu geschützten Bereichen oder Daten zu erlangen. Wie zahlreiche Schlagzeilen mit verlorenen Daten bei namhaften Unternehmen immer wieder zeigten, sind Passwörter immer schwerer zu schützen und deshalb für sich alleine genommen nicht mehr sicher.

Um die Sicherheit zu erhöhen und Mißbrauch zu erschweren gibt es bei der Zwei-Faktor-Authentifizierung (2FA), wie der Name bereits andeutet, zwei Komponenten. In der Regel verbindet man etwas was der Besitzer weiß, ein Geheimnis oder Passwort, mit etwas was nur er besitzt. Zum Beispiel einen Schlüssel, eine ID-Karte oder ein Hardware Token.

Der Sicherheitsgewinn liegt darin, daß ein Faktor alleine nicht ausreicht um Zugriff zum geschützten Bereich zu erhalten. Ein Passwort kann durch den täglichen Gebrauch kompromittiert werden. Etwa weil uns jemand bei der Eingabe über die Schulter schaut, das Passwort erraten oder an einem unsicheren Rechner eingegeben wird. Umgekehrt wäre der Besitz unserer Bankkarte alleine nicht ausreichend um eine Überweisung in unserem Namen zu tätigen.

Ein deutlicher Nachteil liegt darin, daß der Gegenstand der als zweiter Faktor verwendet werden soll, folglich immer mitgeführt werden muß und ansonsten kein Zugriff mehr möglich ist. Deswegen ist es naheliegend etwas zu nutzen, was man ohnehin meistens bei sich trägt. Dafür wäre ein Mobiltelefon oder etwas was man am Schlüsselbund trägt, aus naheliegenden Gründen sehr geeignet. Sollte dieser Gegenstand allerdings verloren oder gestohlen werden, der Akku leer sein, so können wir selbst ausgeschlossen werden.

Deshalb macht es immer Sinn auch zu betrachten, wie die Dienstanbieter mit verlorenen Passwörter oder Daten umgehen und ob sichere Methoden zur Wiederherstellung unseres Zugangs möglich sind.

Warum und wo sollte ich es nutzen?

Grundsätzlich kann man selbst einiges zur Sicherheit beitragen, indem man lange und sichere Passwörter nutzt. Leider ist es auch sehr namhaften Firmen nicht immer gelungen auch eine sichere Umgebung bereitzustellen. Daher ist es in allen Fällen anzuraten Zwei-Faktor-Authentifizierung zu nutzen, wann immer es möglich ist.

Es mag auch recht unbedeutende Zugänge geben. Zum Beispiel ein Konto, was man vor langer Zeit bei einem Forum eingerichtet hat um nur wenige male etwas zu schreiben. Besonders kritisch wird es allerdings immer, wenn zählbare Werte und Geld involviert sind. Überall wo Geld verdient und ausgegeben wird, Bestellungen aufgegeben und Waren eingekauft werden, ist äußerste Vorsicht geboten.

Auch Konten bei sozialen Medien gehören besonders geschützt, genau wie Cloudspeicher wo Fotos und Musiksammlungen gespeichert sind. Dies sind Beispiele für Daten die man gerne behalten und lieber nicht jedem Beliebigen zeigen möchte.

Welche Methoden gibt es?

SMS-Benachrichtigung

Bei der einfachsten Methoden der Zwei-Faktor-Authentifizierung wird bei einem Anmeldeversuch nach Eingabe des Passworts ein zusätzlicher PIN per SMS an ein vorher definiertes Mobiltelefon des Benutzers gesendet.

Leider ist diese Methode veraltet und kann nicht mehr als wirklich sicher gelten. Es hat sich gezeigt, daß es für raffinierte Betrüger kein Hindernis darstellte Telekommunikationsanbieter zu täuschen und an Daten und eine Umleitung der Telefonnumer zu kommen. Darüber hinaus sind SMS nicht besonders geschützt und können leicht abgefangen und mitgelesen werden. Nichtsdestotrotz kann auch diese Methode, solange keine Alternativen angeboten werden, noch einen bedeutenden Sicherheitsgewinn bringen.

Authenticator App

Ein sichereres Verfahren als das Versenden von PIN per SMS ist das erzeugen eines Passworts zur einmaligen Benutzung bei der Authentifizierung. Am leichtesten lässt sich dies mit einer Smartphone-App erzeugen. Hierbei besteht ein vorab nur dem Dienstanbieter und dem Besitzer bekannter Schlüssel. Die Einmalpasswörter werden aus dem geheimen Schlüssel in Verbindung mit der aktuellen Zeit erzeugt. Die so generierten Schlüssel sind für Angreifer sehr schwer zu erraten und müssen anders als bei einer SMS auch nicht offen übermittelt werden.

Auch wenn viele Dienstanbieter bereits eigene Apps anbieten ist hier besonders die Google Authenticator App hervorzuheben. Google bietet einen offenen Standard an, der außer bei Google selbst auch noch bei vielen anderen Anbietern optional zur Absicherung von Konten genutzt werden kann.

Hardware Token

Ähnlich wie bei einer Authenticator App können auch Hardware Tokens, meistens in Form eines USB-Sticks, dazu verwendet werden Einmalpasswörter zu erzeugen und den Zugang zusätzlich zu einem bekannten Passwort abzusichern.

Nun hat man ein Smartphone ohnehin meistens bei sich. Was kann also an einem Hardware Token so gut sein, daß es sich lohnt eigens einen mit sich zu führen?
Nun, was den Token im Vergleich zu einer App noch ein Stück sicherer macht ist, daß er im Vergleich zu einem Smartphone schwerer zu hacken oder aus der Ferne zu kontrollieren ist. Er dient im Vergleich zum Smartphone nur einem einzigen Zweck und ist nicht ständig mit dem Internet verbunden, bietet damit wenig Angriffsfläche. Dies verspricht ein nicht zu unterschätzendes Plus für Ihre Sicherheit.

Ein Beispiel für Hardware Token ist der beliebte Yubikey.