· 

Zwei-Faktor-Authentifizierung (2FA)

1. Einführung

In meinem Video zu Authentifizierungsverfahren habe ich erklärt, welche Authentifizierungsarten es gibt, nämlich wissensbasierte (z. B. Passwort, PIN, Muster), besitzbasierte (z. B. Hardware-Token) und seinsbasierte (also biometrische Faktoren wie der Fingerabdruck oder das Retina-Muster). 

Wir wollen uns nun anschauen, wie man diese Authentifizierungsverfahren geschickt kombinieren kann, um seine Online-Accounts zusätzlich zu schützen.


2. Was ist eine Zwei-Faktor-Authentifizierung?

Das Stichwort lautet Zwei-Faktor-Authentifizierung (2FA). Hierbei handelt es ich um eine Authentifizierungstechnik, bei der man nicht nur eine Information erinnern muss, sondern zusätzlich entweder ein physisches Gerät bestizen muss oder man mittels biometrischen Merkmalen seine Identität nachweist. 

In meinem Video zu den Authentifizierungsverfahren habe ich auch erwähnt, dass man zwischen den Begriffen Authentifizierung und Authentisierung unterscheidet. Ein Benutzer authentisiert sich an einem System. Das System authentifiziert den Benutzer bei erfolgreicher Authentisierung. Diese Begriffe ähneln sich jedoch sehr und da die Begriffe Authentifizierung und Authentisierung oft synonym verwendet werden, machen wir das fortan auch. Im folgenden meinen wir also mit Zwei-Faktor-Authentifizierung und Zwei-Faktor-Authentisieung dasselbe. Neben der 2FA gibt es noch die sogenannte Multi-Faktor-Authentifizierung (MFA), die nicht nur zwei, sondern noch weitere Faktoren für den erfolgreichen Authentifizierungsprozess benötigt. Eine MFA könnte z. B. aus einem Passwort, einem Fingerabdruck und einem Hardware-Token bestehen. Durch dieses Triumvirat steigt zwar die Sicherheit, doch die Usability sinkt. 

Die Begriffe 2FA und MFA werden oft dahingehend verwässert, dass es Dienste gibt, die in Wirklichkeit eine mehrstufige statt eine Multi-Faktor-Authentisierung durchführen. Das ist z. B. dann der Fall, wenn du nach der Eingabe deines Passworts eine E-Mail mit einem Bestätigungscode an deinen hinterlegten E-Mail-Account gesendet bekommst. Warum ist das keine 2FA? Nun, weil beide Faktoren aus derselben Gruppe (nämlich wissenbasierte Authentifizierungsverfahren) stammen, denn du musst zwei Passwörter (das für den Dienst, bei dem du dich anmelden willst und das deines E-Mail-Accounts) erinnern. Bei der MFA sollten die Faktoren aus mindestens zwei verschiedenen der drei Authentifizierungsklassen Wissen, Besitz und Biometrie stammen. Zulässig wäre also z. B. ein Passwort in Kombination mit einem Fingerabdruck oder ein Fingerabdruck in Kombination mit einem Hardware-Token. Oft (z. B. bei Smartphones) wird das Passwort einfach durch den Fingerabdruck ersetzt. Hierbei handelt es sich nicht um eine 2FA, da man nur einen Faktor für die Authentifizierung benötigt (nämlich den Fingerabdruck).


3. Warum braucht man eine 2FA?

In der heutigen Zeit ist fast jeder im Internet präsent. Selbst dann, wenn man nur seine Steuererklärung über ELSTER machen möchte, ist man mit dem Internet verbunden, da hierbei eine elektronische Übermittlung der Steuerdaten vorgenommen wird. Umso wichtiger ist es, dass man seine Accounts so sicher wie möglich macht, um sich so ausreichend vor Angreifern zu schützen.

Die meisten Online-Dienste verlangen von dir, dass du dich mit einem Benutzernamen und einem Passwort anmeldest. Der Benutzername ist oftmals bekannt (in Foren ist das in den meisten Fällen der Benutzername, es kann aber auch die E-Mail-Adresse sein, die zur Registrierung verwendet wurde). Jemand, der sich für dich ausgeben möchte, braucht also lediglich das Passwort ... und das alleine ist als Schutz sehr schwach, da man es erraten, brute forcen oder durch gezielte Phishing E-Mails widerrechtlich abgreifen kann. Einige geben in sozialen Netzwerken wie Facebook oder Instagram sehr viele Informationen von sich preis, die Hacker dazu nutzen können, um das Passwort eines Benutzers zu erraten bzw. Programme zu schreiben, mit denen die Ermittlung des Passworts erheblich erleichtert werden kann. Zudem gibt es zahlreiche Passwortlisten im Internet zu finden, in denen häufig verwendete Passwörter stehen. Damit ist es ein Leichtes, diesen vermeintlichen Schutz durch ein Passwort zu umgehen und sich für jemand anderen auszugeben.

Zudem nimmt (gerade in Zeiten von Corona) die Anzahl an Phishing-Mails rapide zu, sodass jemand, der dein Passwort durch einen Social Engineering Angriff abgreift, irgendwie daran gehindert werden muss Zugriff auf deinen Account zu erhalten. Immer dann, wenn du einen bestimmten Account, ein Gebäude oder ein Gerät schützen willst, solltest du über den Einsatz eines zweiten Faktors für die Authentifizierung nachdenken.


4. Welche Faktoren gibt es?

Welche Faktoren können für eine 2FA bzw. MFA verwendet werden? Wie bereits erwähnt, sollten die Faktoren aus mindestens zwei verschiedenen Authentifizierungsgruppen (Wissen, Besitz, Biometrie) stammen. Demnach ist es nicht verwunderlich, dass es 

  • Hard- und Software-Tokens, sowie
  • biometrische Authentifizierungssysteme gibt.

Der tatsächliche Mehrgewinn an Sicherheit hängt von dem verwendeten Faktor und seiner genauen Implementierung ab.

Eine Transaktionsnummer (TAN) bzw. ein One Time Password (OTP) ist ein einmaliges Passwort, das als zweiter Faktor an das System übermittelt werden kann. Früher wurden diese TANs vorab in Papierform zur Verfügung gestellt (Stichwort iTAN), doch diese Vorgehensweise gilt mittlerweile als unsicher. Heutzutage werden hardwarebasierte TAN-Generatoren bzw. Authenticator Apps (Software) genutzt, die solche OTPs zeit- oder ereignisbasiert neu generieren. Auch die Übermittlung eines einmaligen Besätigungscodes ist möglich.

Auch kryptographische Tokens werden gerne eingesetzt. Sie speichern einen privaten  kryptographischen Schlüssel. Der Benutzer authentisiert sich durch das Senden einer Anforderung an das Token, die das Token wiederum nur mithilfe des privaten Schlüssels richtig beantworten kann. Der Schlüssel kann in Form eines Softwarezertifikats gespeichert werden. Wenn man auf Nummer sicher gehen möchte, dann sollte man ihn auf einer Chipkarte oder einem speziellen USB-Stick bzw. NFC-Token (FIDO/U2F) sichern.

Bei biometrischen Systemen werden zuvor erfasste einzigartige körperliche Merkmale überprüft. Dazu zählen der Fingerabdruck, das Gesicht, das Venenmuster der Hand oder die Retina. Allerdings sind biometrische Merkmale normalerweise nicht geheim, sodass eine Lebenderkennung vonnöten ist, um auszuschließen, dass jemand mit einem Bild oder einem abgetrennten Finger versucht, sich unberechtigten Zugang zu verschaffen.


5. Ist die Authentifizierung per SMS ein zweiter Faktor?

Ist die Kombination aus einem Passwort und einem Bestätigungscode als 2FA anzusehen? Jein, denn es ist zwar richtig, dass man das Smartphone als physikalisches Gerät zum Empfang der SMS mit dem entsprechenden Bestätigungscode benötigt, doch im Prinzip bekommt man nur eine weitere Information mitgeteilt, die man wissen muss, um sich gegenüber einem System zu authentisieren. Das Smartphone, auf das der Bestätigunscode gesendet wird, ist nicht unbedingt erforderlich, denn man kann solche Nachrichten auch anderweitig abfangen. Es gab schließlich auch eine Zeit lang eine Sicherheitslücke bei WhatsApp, durch die man über ein PHP-Skript direkt mit dem WhatsApp-Server kommunizieren konnte und mit einer gefälschten IMEI-Nummer in der Lage war, unbemerkt die Nachrichten einer bestimmten Nummer zu lesen. Wenn du also in einem sicherheitskritischen Bereich arbeitest, dann ist der zusätzliche Schutz durch SMS als zweiten Faktor nur bedingt ausreichend. Für den normalen Endverbraucher reicht die SMS als zweiter Faktor allerdings aus.


6. Einsatzbereiche

Wo wird die 2FA eingesetzt?

  • Steuererklärung Mit ELSTER ist es möglich, seine Steuererklärung digital beim Finanzamt einzureichen.
  • Social Media Accounts Zahlreiche Social Media Accounts wie Google, Facebook und Instagram bieten mittlerweile eine Authentifizierung mit einem zweiten Faktor an. Hierzu kann bspw. ein eingebauter Sicherheitschip im Telefon oder ein zusätzliches Hardware-Token verwendet werden. Ich verwende bspw. einen Time Based One Time Password Generator (TOTP-Generator) und einen YubiKey. Insbesondere dann, wenn man ein großes Unternehmen mit über 6 Millionen Followern ist, sollte man eine 2FA verwenden.
  • Online-Banking Beim Online-Banking ist der Schutzbedarf des Accounts besonders hoch, denn wenn sich Hacker den Zugriff auf dein Online-Banking-Konto sichern können, sind Überweisungen, die du eigentlich gar nicht tätigen wolltest, möglich. Für gewöhnlich meldet man sich mit seinem Passwort an und erhält zum Bestätigen von Transaktionen zusätzlich eine TAN via mTAN oder pushTAN. Alternativ können auch kartenbasierte Systeme wie chipTAN oder das Homebanking Computer Interface (HCBI) zum Einsatz kommen.
  • Smartphones Nicht nur bei Online-Diensten, sondern auch bei Geräten wie dem Smartphone kann eine 2FA eingesetzt werden. Da auf dem Smartphone in der Regel sehr viele private Daten gespeichert sind, solltest du entweder ein sehr starkes Passwort verwenden oder diesen Authentifizierungsmechanismus mit weiteren kombinieren. Der Ersatz des Passworts durch den Fingerabdruck oder die Mustersperre genügt nicht und ist keine 2FA.

7. Vor- und Nachteile der 2FA

Der wohl größte Vorteil bei der 2FA ist, dass du einen erheblichen Mehrgewinn an Sicherheit hast. Ein möglicher Hacker braucht beide Schlüssel für den Zugriff auf dein Konto. 

2FA besitzt aber auch einige Nachteile:

  • Eine 2FA bzw. MFA verlängert geringfügig den Vorgang der Anmeldung. Bei vielen Diensten ist es jedoch möglich in regelmäßigen Abständen nach dem zweiten Faktor zu fragen und nicht bei jedem Anmeldevorgang. Das reduziert jedoch wiederum die Sicherheit. Auch gibt es die Möglichkeit, den zweiten Faktor auf einem bestimmten Gerät speichern zu lassen, wovon aus Sicherheitsgründen ebenfalls abzuraten ist. Security und Usability liefern sich stets einen unerbittlichen Machtkampf und man muss entscheiden, in welcher Situation man was mehr gewichtet.

  • Wenn du den Zugriff auf deinen besitzbasierten Faktor verlierst oder er kaputtgegangen ist, verlierst du damit auch den Zugriff auf den Account, den du damit geschützt hast oder der Funktionsumfang wird eingeschränkt. In solchen Fällen solltest du dich an den Support des Dienstbetreibers wenden. Es könnte auch sein, dass bspw. die USB-Ports an deinem Rechner defekt sind und ein USB-Token somit nicht mehr erkannt wird. Das Problem kannst du jedoch lösen, in dem du weitere Faktoren hinterlegst (z. B. ein weiteres Token, eine Mobilfunknummer oder eine weitere E-Mail-Adresse). Beachte aber, dass der Dienstbetreiber dadurch mehr Informationen über dich erhält (Handynummer, weitere E-Mail-Adresse, ...).
  • Es stellt sich zudem ein trügerisches Gefühl von Sicherheit ein. Zwar stimmt es, dass man durch den zweiten Faktor geschützt ist, doch wenn man nach wie vor auf Phishing-Mails herein fällt, dann bringt das zusätzliche Maß an Sicherheit nicht viel. Wie schon mehrfach erwähnt ist der Mensch das schwächste Glied in der IT-Sicherheitskette. Die besten Schutzmaßnahmen bringen nur dann etwas, wenn der Benutzer sie auch tatsächlich akzeptiert und verwendet. 

8. Empfehlungen

  • Ich würde dir empfehlen, dass du die 2FA verwendest, sobald ein bestimmter Online-Dienst es ermöglicht. Viele Dienste haben diese Funktion standardmäßig deaktiviert, bieten sie aber trotzdem an. Deswegen ist es ratsam in den Einstellungen seines Profils nachzusehen, ob diese Funktion vorhanden ist und wenn ja, diese auch zu aktivieren.Wenn dein Passwort in falsche Hände geraten sollte, hast du somit eine weitere Barriere geschaffen, die ein Hacker überwinden muss.
  • Einen Bestätigungscode per SMS kann ich nicht empfehlen wenn du in einem sicherheitskritischen Bereich arbeitest, da die Kenntnis deiner Mobilfunknummer weitere Angriffsvektoren ermöglicht, wodurch deine SMS ggf. mitgelesen werden können. Als normaler Endverbraucher reicht der Schutz allerdings aus.
  • Zudem solltest du (nicht nur aus Usability-Gründen) erstmal nur eine 2FA verwenden, denn je nach Art des zweiten Faktors haben auch die Hacker mehr Möglichkeiten, diese zu umgehen bzw. aus ihnen auszuwählen. Wenn du bspw. ein Passwort, einen Fingerabdruck und einen Bestätigungscode per SMS verwendest und nur zwei der drei Faktoren benötigt werden, dann könnte sich der Hacker mit deinem Passwort und dem Bestätigungscode per SMS anmelden ohne deinen Fingerabdruck zu haben. Eine MFA ergibt in meinen Augen Sinn, wenn alle Faktoren für die Authentifizierung benötigt werden. Das sorgt aber auch dafür, dass du länger brauchst, um in deinen Account zu kommen und dass du keinen der Faktoren verlieren darfst.