Die Zwei-Faktor-Authentifizierung, bei der zwei voneinander unabhängige Komponenten zur Identitätsfeststellung zum Einsatz kommen, stellt heute den Standard bei der Absicherung von Web-Applikationen, virtuellen Plattformen, Cloud-Umgebungen und mobilen Anwendungen dar.
Was bedeutet Zwei-Faktor-Authentifizierung?
Der Begriff der Zwei-Faktor-Authentifizierung (2FA), welche korrekterweise als Zwei-Faktor-Authentisierung bezeichnet werden sollte, entstammt dem Bereich der IT-Sicherheit. Als Authentifizierungsverfahren hat sich die 2FA nicht zuletzt aufgrund des relativ hohen Sicherheitsstandards im Vergleich zum Zeitaufwand bei der Durchführung bewährt. Der Identitätsnachweis einer zutritts- oder zugriffsbeantragenden Person erfolgt dabei durch zwei unterschiedliche sowie voneinander unabhängige Authentifizierungsfaktoren. Als Beispiele können die Kombination von Bankkarte und PIN beim Geldautomaten oder von Login und Transaktionsnummer (TAN) beim Online-Banking angeführt werden.
Die verwendeten Identifizierungskomponenten können folgenden Bereichen entstammen:
– dem Besitz des Nutzers (z. B. seine Bankkarte)
– dem individuellen Wissen des Nutzers (z. B. sein Passwort)
– den persönlichen (biometrischen) Charakteristika des Anwenders (z. B. sein Fingerabdruck oder die Regenbogenhaut des Auges)
Werden aus diesen Kategorien zwei unterschiedliche Faktoren zur Identifizierung verwendet, spricht man von einer 2-Faktor-Authentifizierung. Als Weiterentwicklung dieses Systems werden sogenannte Einmalpasswörter (engl. One-Time-Passwords – OTP) eingesetzt, welche für den Anmeldevorgang einmalig generiert werden und dann ihre Gültigkeit verlieren. Nach Ansicht von Experten stellt die Zwei-Faktor-Authentifizierung ein wesentliches Sicherheitsplus bei Login-Vorgängen dar und kann mithelfen, Brute-Force-Attacken, Identitätsdiebstahl, Phishing und andere online- bzw. webbasierte Betrugsversuche einzuschränken. Kriminelle benötigen stets beide Komponenten gleichzeitig, um erfolgreich zu sein: Das Zugangsmedium (z. B. Bankomatkarte) sowie den zweiten Sicherheitsfaktor, beispielsweise den PIN-Code.
Komponenten der Zwei-Faktor-Authentifizierung
Bei der Zwei-Faktor-Authentifizierung kommen zwei definierte und voneinander unabhängige Komponenten zum Einsatz. Fehlt nur einer der beiden Identifizierungsfaktoren oder wird er falsch gebraucht, wird der gewünschte Zugriff (z. B. auf ein Gerät oder ein Konto) bzw. der Zutritt zu dem Gebäude oder Stockwerk verweigert.
Authentifizierungs-Faktoren können sein:
– ein Gegenstand, zum Beispiel ein Sicherheits-Token, eine Smartcard, eine Bankkarte oder ein konventioneller Schlüssel
– individuelles Wissen, beispielsweise ein Passwort, eine PIN oder TAN oder die Antwort auf eine Geheimfrage
– biometrische Merkmale, etwa ein Fingerabdruck, die Regenbogenhaut des Auges (Iris-Erkennung), oder die Stimme
Allerdings können auch zwei Faktoren oder Merkmale einer Gattung bei einer Berechtigungskontrolle eingesetzt werden (z. B. Passwort und TAN beim Online-Banking).
Die mittelbare Zwei-Faktor-Authentifizierung
Erfordert der Authentifizierungsprozess eine Komponente in Form eines Gegenstandes (z. B. Bankkarte), so unterliegt dieser dem Verlust-, Beschädigungs- und Diebstahlrisiko. Auch kann es geschehen, dass der Anwender einfach vergessen hat, den Token bei sich zu tragen. In all diesen Fällen ist ein Zugriff aus Sicherheitsgründen unmöglich, zudem ist die Wiederbeschaffung des Gegenstandes oft mit Kosten und zeitlichem Aufwand verbunden.
Abhilfe schafft die sogenannte mittelbare (mobile) Zwei-Faktor-Authentifizierung. Sie bedient sich im Besitz des Anwenders befindlicher mobiler Endgeräte wie Smartphones oder Tablets. Dies hat den Vorteil, dass kein zusätzlicher Gegenstand angeschafft und gesichert werden muss, da die meisten User ihr Mobiltelefon ohnehin stets dabeihaben. Startet der Nutzer nun den Authentifizierungsvorgang, hat er neben dem üblicherweise geforderten Passwort auch einen dynamisch erzeugten, zur einmaligen Verwendung bestimmten Code einzugeben. Dieser Code wird in Echtzeit generiert und dem Anwender per E-Mail, SMS oder via App auf sein Mobilgerät übermittelt. Sobald die Ziffernfolge für ein Login verwendet wurde, wird sie automatisch gelöscht. Unterbleibt die Verwendung innerhalb einer bestimmten Frist, wird der Code über das System durch einen anderen Code ersetzt. Dadurch wird verhindert, dass bereits verwendete, nicht aktuelle Codes auf dem mobilen Endgerät verbleiben. Um das Sicherheits-Level zu erhöhen, kann zusätzlich definiert werden, nach wie vielen Fehlversuchen bzw. Falscheingaben das System den Zugang unwiderruflich sperrt. Eine Aufhebung dieser Sperre ist häufig nur nach persönlichem Erscheinen des Anwenders beim Dienstleister, Arbeitgeber oder sonstigem Stakeholder möglich, oft ist in diesem Fall auch eine Ausweisleistung des Nutzers erforderlich.
Gegenüberstellung Ein-Faktor-Authentifizierung, Zwei-Faktor-Authentifizierung und Mehrfaktor-Authentifizierung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät dazu, für sicherheitskritische Anwendungen die Zwei-Faktor-Authentifizierung zu verwenden. Um das Sicherheitspotenzial von 2FA-Lösungen noch weiter zu erhöhen, wurde die Mehrfaktor-Authentifizierung ins Leben gerufen. Dabei ist festzustellen, dass sich alle Authentifizierungsprozesse, die auf der Kategorisierung von Prüffaktoren beruhen, grundsätzlich einander ähnelnder Prozesse bedienen.
Um das Authentifizierungsverfahren für den Nutzer bei der Mehrfaktor-Authentifizierung nicht unnötig komplex zu gestalten, wurde lediglich eine zusätzliche Komponente als Token beim Anmeldeprozedere eingegliedert. Zusätzliche Prüfroutinen wurden allerdings installiert: So überprüfen Technologien wie Geolocation oder Geofencing den Standort des Anmelders aufgrund seiner IP-Adresse. Ergibt die Prüfung eine Auffälligkeit, kann der Login vom Anmeldeserver abgelehnt (denied) werden. Weitere Kontrollen, die im Rahmen einer Mehrfaktor-Authentifizierung durchgeführt werden, registrieren ein eventuell ungewöhnliches Verhalten des Anwenders oder speichern seine Sitzungs-ID, also die Verbindung der jeweiligen zweiten Komponente mit der aktuellen Sitzungs-ID. Was den neu implementierten Token bei der 2FA-Prüfung betrifft, so handelt es sich dabei um biometrische Funktionen (z. B. Finger- oder Augenabdruck), welche via Smartphone, Tablet oder Notebook mit anderen Sicherheits- und Codeabfragen verknüpft werden.
Schlussendlich basiert die sogenannte Ein-Faktor-Authentifizierung (1FA) – wie der Name vermuten lässt – auf einer einzigen Komponente, welche für die Authentifizierung eines Anmeldeverfahrens verwendet wird. Die 1FA-Methode ist eine der gebräuchlichsten Methoden zur Authentifizierung, oft werden dabei die Abfrage von Benutzername und Passwort miteinander kombiniert. Der Sicherheitsgrad einer Ein-Faktor-Authentifizierung hängt in hohem Maße von der Selbstverantwortung und Gewissenhaftigkeit des Anwenders ab, der die Zugangskriterien definiert. Starke Passwörter, bestehend aus Klein- und Großbuchstaben sowie Sonderzeichen, sind genauso sinnvoll wie der Verzicht auf automatische Logins (permanente Hinterlegung des Passwortes.) In diesem Zusammenhang ist festzuhalten, dass es sich bei Benutzername und Passwort zwar um zwei getrennte Merkmale handelt, diese allerdings derselben Authentifizierungskategorie (individuelles Wissen) angehören, wodurch die Bedingungen der Ein-Faktor-Authentifizierung erfüllt sind. Die 1FA-Variante der Identitätsfeststellung ist kostengünstig und einfach zu implementieren. Passwörter stellen – trotz evidenter Mängel im Sicherheitsbereich – noch immer die häufigsten Komponenten bzw. Merkmale der 1FA dar. Erweiterte Anforderungskriterien wie etwa biometrische Verfahren können bereits im „Stand-alone-Betrieb“ als Ein-Faktor-Identifizierung für ein erhebliches Plus an Sicherheit sorgen.