Was ist eine Zweifaktor-Authentifizierung?
Viele Online-Dienste bieten mittlerweile dieses Verfahren an. Nutzer können sich hier zusätzlich bzw. alternativ zur regulären Passworteingabe identifizieren, wenn sie sich in ein Konto einloggen. Die sogenannte Zwei-Faktor-Authentisierung (2FA) ist eine Art Multi-Faktor-Authentisierung (MFA) die es in ganz unterschiedlichen Varianten gibt: Einige ergänzen das zuvor eingegebene Passwort um einen zusätzlichen Faktor, andere ersetzen das vorherige Log-In mit Passwort komplett durch eine direkte Kombination zweier Faktoren. Dabei bieten vor allem hardwaregestützte Verfahren ein hohes Maß an Sicherheit und sollten ergänzend (beziehungsweise ersetzend) zu einem starken Passwort genutzt werden.
Eine Authentisierung mittels zweier Faktoren beginnt in vielen Fällen mit der gewöhnlichen Eingabe eines möglichst sicheren Passworts. Das System, in das sich Nutzerin oder Nutzer einloggen möchten, bestätigt daraufhin die Richtigkeit des eingegebenen Kennworts. Viele Zwei-Faktor-Systeme greifen nach der Passwortabfrage auf externe Systeme zurück, um eine zweistufige Überprüfung des Nutzers durchzuführen. Das kann bedeuten, dass der Anbieter, bei dem sich der Nutzer anmeldet, einen Bestätigungscode an ein verfügbares Gerät sendet, z. B. ein Smartphone. Der zweite Faktor kann allerdings auch ein Fingerabdruck auf einem entsprechenden Sensor, die Beantwortung einer Sicherheitsfrage, oder die Verwendung eines USB-Tokens oder einer Chipkarte sein. Erst wenn sich auch dieses Mittel zur Identitätsbestätigung im Besitz des Nutzers befindet, ist dieser in der Lage, die angeforderten Inhalte aufzurufen und den Online-Dienst oder das Gerät zu benutzen.
Bei der Zwei-Faktor-Authentifizierung werden dem Nutzer also immer zwei unterschiedliche Merkmale bereitgestellt, um sich zu identifizieren. Ein typisches Beispiel für eine Zwei-Faktor-Authentifizierung sind Smartcards: Die Karte selbst ist der physische Gegenstand, während die PIN (persönliche Identifizierungsnummer) die dazugehörige Information ist. Die Kombination beider macht es einer fremden Person schwieriger, auf das Bankkonto des Nutzers zuzugreifen, weil dazu beide Elemente benötigt werden, also der physische Gegenstand sowie die PIN.
Wie sicher ist eine Zwei-Faktor-Authentifizierung?
Die Zwei-Faktor-Authentifizierung bietet deutlich mehr Sicherheit für Nutzer und Anbieter: Geräte, die bei der Zwei-Faktor-Authentifizierung in falsche Hände geraten, können allein dadurch keinen Schaden verursachen. Denn für einen Missbrauch würde ja auch noch die zweite Sicherheitsfunktion benötigt. Dieser Umstand ermöglicht Nutzern zudem einen sicheren Zugang zu diversen Cloud-Diensten. Dank der Authentifizierung sind die Daten geschützter, da ein Zugriff schwerer erfolgen kann. Dies ist besonders in Hinblick auf das Thema Datenschutz relevant.
Angreifer müssen also auch das Smartphone des Nutzers in ihre Verfügungsgewalt bekommen oder die Kommunikation umleiten bzw. abhören, um in den Besitz des zusätzlichen Einmalkennworts zu kommen. Unmöglich ist dies nicht, erfordert aber einen ungleich höheren Aufwand als das Ausspionieren des Passworts. Nutzer sind dadurch also besser vor Missbrauch geschützt. Es lohnt sich daher immer, die Zwei-Faktor-Authentifizierung zu aktivieren, da diese gleichzeitig einen besseren Identitätsnachweis liefert, und sich somit auch die Transaktionssicherheit für die Anbieter erhöht.
Wie funktioniert die adaptive Multifaktor-Authentifizierung (MFA) und welche Vorteile bringt sie?
Die adaptive MFA läuft stets im Hintergrund und erstellt eine aktive Beurteilung des Benutzers. Dazu gehören etwa kontextbezogene, verhaltensbezogene oder ähnliche Faktoren, darunter der geografische Standort, die Computing-Umgebung und die Art der Transaktion. Wenn eine der Richtlinien zu einem dieser Faktoren eine höhere Sicherheitsstufe vorschreibt, kann das System die Authentifizierungsanforderungen hochsetzen, um das richtige Sicherheitsniveau auf das jeweilige Risiko anzuwenden.
Ein Administrator kann die Richtlinien für die Zugriffskontrolle bestimmen und damit über die Notwendigkeit einer starken Multifaktor-Authentifizierung entscheiden. Da diese Richtlinien auf Risiken basieren, beginnt dieser Prozess meist mit einer Datenklassifizierung, um eventuelle Audit Risiken und die bei einer Kompromittierung des Unternehmens am stärksten gefährdeten Daten zu identifizieren (PII, PHI, Kreditkartennummern, Sozialversicherungsnummern, geistiges Eigentum usw.).
Über eine Multifaktor-Authentifizierung flexibel auf das Nutzungsszenario eingehen
Trotz der Hürde, mehrere Authentifizierungs-Stufen durchlaufen zu müssen, vertrauen laut einer Auth0 Studie rund 40 Prozent aller Verbraucher in Deutschland auf die Multifaktor-Authentifizierung. Nur 27 Prozent aller Unternehmen haben diese Login-Technologie allerdings erst im Einsatz. Beim MFA werden zwei (2FA) oder mehrere Berechtigungsnachweise (Kategorien: etwas, das man besitzt, etwas das man kennt oder was man ist) kombiniert. Das kann kontextbezogen und adaptiv funktionieren. Die Kunst ist es hier, über den Anwendungskontext auf das passende Sicherheitsniveau zu schließen. Greift ein Nutzer beispielsweise aus den USA auf einen Online-Service zu, muss er mehrere Faktoren durchlaufen, um seine Identität nachzuweisen. Damit kann das Sicherheitsniveau je nach Kontext (z.B. geographischer Standort, Computing-Umgebung) variieren und angehoben werden. Auch Hacker haben verloren, da sie meist an den weiteren Faktoren, die zu einem Login berechtigen, scheitern. Ein Nachteil dieses Schutzwalls, der um den Nutzer gezogen wird, ist, dass man sich stets über mehrere Geräte authentifizieren muss. Unternehmen, die sich für den Einsatz von MFA entscheiden, sollten daher zuvor die Login-Gewohnheiten und Möglichkeiten ihrer Zielgruppe analysieren. Ansonsten kann dieses Verfahren mit Sicherheit zu Lasten der Customer Experience gehen.
Wenn Sie mehr darüber wissen wollen, welche Authentifizierungsmethode für Sie und Ihr Unternehmen den bestmöglichen Schutz bietet, treten Sie noch heute mit uns in Kontakt oder starten Sie direkt mit einer kostenlosen Testversion.