Zwei-Faktor-Authentifizierung (2FA)

Die Zwei-Faktor-Authentifizierung (2FA), manchmal auch als zweistufige Verifizierung oder Zwei-Faktor-Authentifizierung bezeichnet, ist ein Sicherheitsverfahren, bei dem Benutzer zwei verschiedene Authentifizierungsfaktoren angeben, um sich zu verifizieren. Dieses Verfahren dient dazu, sowohl die Anmeldedaten des Benutzers als auch die Ressourcen, auf die der Benutzer zugreifen kann, besser zu schützen. Die Zwei-Faktor-Authentifizierung bietet ein höheres Maß an Sicherheit als Authentifizierungsmethoden, die auf der Ein-Faktor-Authentifizierung (SFA) beruhen, bei der der Benutzer nur einen Faktor angibt – in der Regel ein Passwort oder einen Passcode. Bei der Zwei-Faktor-Authentifizierung gibt der Benutzer ein Kennwort und einen zweiten Faktor an, in der Regel entweder ein Sicherheits-Token oder einen biometrischen Faktor wie einen Fingerabdruck oder einen Gesichtsscan.

Die Zwei-Faktor-Authentifizierung fügt dem Authentifizierungsprozess eine zusätzliche Sicherheitsebene hinzu, indem sie es Angreifern erschwert, Zugang zu den Geräten oder Online-Konten einer Person zu erhalten, da die Kenntnis des Kennworts des Opfers allein nicht ausreicht, um die Authentifizierungsprüfung zu bestehen. Die Zwei-Faktor-Authentifizierung wird seit langem verwendet, um den Zugang zu sensiblen Systemen und Daten zu kontrollieren, und Anbieter von Online-Diensten setzen zunehmend 2FA ein, um die Anmeldedaten ihrer Benutzer vor Hackern zu schützen, die eine Passwortdatenbank gestohlen oder Phishing-Kampagnen genutzt haben, um an Benutzerpasswörter zu gelangen.

Was sind Authentifizierungsfaktoren?

Es gibt verschiedene Möglichkeiten, wie jemand mit mehr als einer Authentifizierungsmethode authentifiziert werden kann. Gegenwärtig stützen sich die meisten Authentifizierungsmethoden auf Wissensfaktoren, wie z. B. ein herkömmliches Kennwort, während bei Zwei-Faktor-Authentifizierungsmethoden entweder ein Besitzfaktor oder ein Inhärenzfaktor hinzukommt.

Zu den Authentifizierungsfaktoren, die in der ungefähren Reihenfolge ihrer Einführung in die Datenverarbeitung aufgelistet sind, gehören die folgenden:

1. Ein Wissensfaktor ist etwas, das der Benutzer kennt, wie z. B. ein Kennwort, eine PIN (persönliche Identifikationsnummer) oder eine andere Art von gemeinsamem Geheimnis.
2. Ein Besitzfaktor ist etwas, das der Benutzer besitzt, wie z. B. ein Ausweis, ein Sicherheits-Token, ein Mobiltelefon, ein mobiles Gerät oder eine Smartphone-App, um Authentifizierungsanfragen zu genehmigen.
3. Ein Inhärenzfaktor, allgemeiner als biometrischer Faktor bezeichnet, ist etwas, das dem physischen Selbst des Benutzers eigen ist. Dabei kann es sich um persönliche Attribute handeln, die aus physischen Merkmalen abgeleitet werden, wie z. B. Fingerabdrücke, die über ein Fingerabdrucklesegerät authentifiziert werden. Andere häufig verwendete Inhärenzfaktoren sind Gesichts- und Stimmerkennung.
4. Ein Standortfaktor, der in der Regel durch den Ort bezeichnet wird, von dem aus ein Authentifizierungsversuch unternommen wird, kann durch die Beschränkung von Authentifizierungsversuchen auf bestimmte Geräte an einem bestimmten Ort oder, häufiger, durch die Verfolgung der geografischen Quelle eines Authentifizierungsversuchs auf der Grundlage der Internetprotokoll (IP)-Quelladresse oder anderer Geolokalisierungsinformationen, wie Global Positioning System (GPS)-Daten, die vom Mobiltelefon oder einem anderen Gerät des Benutzers abgeleitet werden, durchgesetzt werden.
5. Ein Zeitfaktor beschränkt die Benutzerauthentifizierung auf ein bestimmtes Zeitfenster, in dem die Anmeldung erlaubt ist, und schränkt den Zugriff auf das System außerhalb dieses Zeitfensters ein.

Es sollte beachtet werden, dass die überwiegende Mehrheit der Zwei-Faktor-Authentifizierungsmethoden sich auf die ersten drei Authentifizierungsfaktoren stützt, obwohl Systeme, die eine höhere Sicherheit erfordern, diese verwenden können, um eine Multifaktor-Authentifizierung (MFA) zu implementieren, die sich auf zwei oder mehr unabhängige Anmeldeinformationen für eine sicherere Authentifizierung stützen kann.

Wie funktioniert die Zwei-Faktor-Authentifizierung?

So funktioniert die Zwei-Faktor-Authentifizierung:

1. Der Benutzer wird von der Anwendung oder der Website aufgefordert, sich anzumelden.
2. Der Benutzer gibt ein, was er weiß – normalerweise Benutzername und Kennwort. Dann findet der Server der Website eine Übereinstimmung und erkennt den Benutzer.
3. Für Prozesse, die keine Passwörter erfordern, generiert die Website einen eindeutigen Sicherheitsschlüssel für den Benutzer. Das Authentifizierungstool verarbeitet den Schlüssel, und der Server der Website validiert ihn.
4. Die Website fordert den Benutzer dann auf, den zweiten Anmeldeschritt einzuleiten. Auch wenn dieser Schritt verschiedene Formen annehmen kann, muss der Benutzer nachweisen, dass er etwas besitzt, das nur er hat, z. B. ein Sicherheits-Token, eine ID-Karte, ein Smartphone oder ein anderes mobiles Gerät. Dies ist der Besitzfaktor.
5. Danach gibt der Benutzer einen einmaligen Code ein, der in Schritt vier generiert wurde.
6. Nachdem er beide Faktoren angegeben hat, wird der Benutzer authentifiziert und erhält Zugang zur Anwendung oder Website.

Elemente der Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung ist eine Form der MFA. Technisch gesehen kommt sie immer dann zum Einsatz, wenn zwei Authentifizierungsfaktoren erforderlich sind, um Zugang zu einem System oder Dienst zu erhalten. Die Verwendung von zwei Faktoren aus derselben Kategorie stellt jedoch keine 2FA dar. Wenn beispielsweise ein Kennwort und ein gemeinsames Geheimnis erforderlich sind, wird dies immer noch als SFA betrachtet, da beide zum selben Authentifizierungsfaktortyp gehören: Wissen.

Bei den SFA-Diensten sind Benutzer-ID und Kennwort nicht die sichersten. Ein Problem bei der passwortbasierten Authentifizierung ist, dass es Wissen und Sorgfalt erfordert, sichere Passwörter zu erstellen und zu behalten. Passwörter müssen vor vielen internen Bedrohungen geschützt werden, z. B. vor unachtsam aufbewahrten Haftnotizen mit Anmeldedaten, alten Festplatten und Social-Engineering-Angriffen. Passwörter sind auch externen Bedrohungen ausgesetzt, z. B. Hackern, die Brute-Force-, Wörterbuch- oder Rainbow-Table-Angriffe einsetzen.

Wenn ein Angreifer genügend Zeit und Ressourcen hat, kann er in der Regel passwortbasierte Sicherheitssysteme knacken und Unternehmensdaten, einschließlich persönlicher Daten der Benutzer, stehlen. Passwörter sind nach wie vor die gängigste Form von SFA, da sie kostengünstig, einfach zu implementieren und bekannt sind. Multiple Challenge-Response-Fragen können mehr Sicherheit bieten, je nachdem, wie sie implementiert werden, und eigenständige biometrische Überprüfungsmethoden können ebenfalls eine sicherere SFA-Methode darstellen.

Typen von Zwei-Faktor-Authentifizierungsprodukten

Es gibt viele verschiedene Geräte und Dienste für die Implementierung von 2FA – von Token über RFID-Karten (Radio Frequency Identification) bis zu Smartphone-Apps.

Die Produkte für die Zwei-Faktor-Authentifizierung lassen sich in zwei Kategorien einteilen: Token, die den Nutzern bei der Anmeldung ausgehändigt werden, und Infrastrukturen oder Software, die den Zugang von Nutzern, die ihre Token korrekt verwenden, erkennen und authentifizieren.

Authentifizierungs-Token können physische Geräte sein, wie z. B. Schlüsselanhänger oder Smartcards, oder sie können als Software in Form von Mobil- oder Desktop-Apps existieren, die PIN-Codes für die Authentifizierung erzeugen. Diese Authentifizierungscodes, die auch als Einmalpasswörter (OTPs) bezeichnet werden, werden in der Regel von einem Server generiert und können von einem Authentifizierungsgerät oder einer App als authentisch erkannt werden. Der Authentifizierungscode ist eine kurze Sequenz, die mit einem bestimmten Gerät, Benutzer oder Konto verknüpft ist und einmal als Teil eines Authentifizierungsprozesses verwendet werden kann.

Organisationen müssen ein System bereitstellen, um Benutzer, die sich mit ihren Token authentifizieren, zu akzeptieren, zu verarbeiten und den Zugriff zu erlauben – oder zu verweigern. Dies kann in Form von Serversoftware, einem dedizierten Hardwareserver oder als Dienst eines Drittanbieters erfolgen.

Ein wichtiger Aspekt von 2FA ist die Sicherstellung, dass der authentifizierte Benutzer Zugang zu allen Ressourcen erhält, für die er zugelassen ist – und nur zu diesen Ressourcen. Daher ist eine Schlüsselfunktion von 2FA die Verknüpfung des Authentifizierungssystems mit den Authentifizierungsdaten eines Unternehmens. Microsoft stellt einen Teil der Infrastruktur zur Verfügung, die Unternehmen für die Unterstützung von 2FA in Windows 10 benötigen, und zwar über Windows Hello, das mit Microsoft-Konten arbeiten kann, sowie für die Authentifizierung von Benutzern über Microsoft Active Directory, Azure AD oder Fast IDentity Online (FIDO 2.0).

Wie 2FA-Hardware-Tokens funktionieren

Hardware-Tokens für 2FA sind verfügbar und unterstützen verschiedene Ansätze zur Authentifizierung. Ein beliebter Hardware-Token ist der YubiKey, ein kleines Universal Serial Bus (USB)-Gerät, das OTPs, Verschlüsselung und Authentifizierung mit öffentlichen Schlüsseln sowie das von der FIDO Alliance entwickelte Universal 2nd Factor (U2F)-Protokoll unterstützt. YubiKey-Token werden von Yubico Inc. mit Sitz in Palo Alto, Kalifornien, verkauft.

Wenn sich Nutzer mit einem YubiKey bei einem Online-Dienst anmelden, der OTPs unterstützt – wie Gmail, GitHub oder WordPress – stecken sie ihren YubiKey in den USB-Anschluss ihres Geräts, geben ihr Passwort ein, klicken in das YubiKey-Feld und berühren die YubiKey-Taste. Der YubiKey generiert ein OTP und gibt es in das Feld ein.

Das OTP ist ein 44-stelliges Einmal-Passwort; die ersten 12 Zeichen sind eine eindeutige ID, die den mit dem Konto registrierten Sicherheitsschlüssel identifiziert. Die restlichen 32 Zeichen enthalten Informationen, die mit einem Schlüssel verschlüsselt werden, der nur dem Gerät und den Servern von Yubico bekannt ist und bei der ersten Registrierung des Kontos festgelegt wurde.

Das OTP wird vom Online-Dienst an Yubico zur Überprüfung der Authentifizierung gesendet. Sobald das OTP validiert ist, sendet der Yubico-Authentifizierungsserver eine Nachricht zurück, die bestätigt, dass dies das richtige Token für diesen Benutzer ist. Die 2FA ist abgeschlossen. Der Benutzer hat zwei Authentifizierungsfaktoren bereitgestellt: Das Passwort ist der Wissensfaktor und der YubiKey ist der Besitzfaktor.

Zwei-Faktor-Authentifizierung für die Authentifizierung mit mobilen Geräten

Smartphones bieten eine Vielzahl von Möglichkeiten für 2FA, so dass Unternehmen das verwenden können, was für sie am besten funktioniert. Einige Geräte sind in der Lage, Fingerabdrücke zu erkennen, eine eingebaute Kamera kann für die Gesichtserkennung oder das Scannen der Iris verwendet werden, und das Mikrofon kann für die Stimmerkennung genutzt werden. Smartphones, die mit GPS ausgestattet sind, können den Standort als zusätzlichen Faktor verifizieren. Voice oder Short Message Service (SMS) können ebenfalls als Kanal für die Out-of-Band-Authentifizierung verwendet werden.

Eine vertrauenswürdige Telefonnummer kann verwendet werden, um Verifizierungscodes per Textnachricht oder automatischem Telefonanruf zu erhalten. Ein Benutzer muss mindestens eine vertrauenswürdige Telefonnummer verifizieren, um sich für 2FA anzumelden.

Apple iOS, Google Android und Windows 10 verfügen alle über Apps, die 2FA unterstützen, so dass das Telefon selbst als physisches Gerät dienen kann, um den Besitzfaktor zu erfüllen. Duo Security mit Sitz in Ann Arbor, Michigan, das 2018 von Cisco für 2,35 Milliarden US-Dollar gekauft wurde, ist ein Anbieter von 2FA-Plattformen, dessen Produkt es Kunden ermöglicht, ihre vertrauenswürdigen Geräte für 2FA zu verwenden. Die Plattform von Duo stellt zunächst fest, dass ein Benutzer vertrauenswürdig ist, bevor sie überprüft, ob das mobile Gerät auch für die Authentifizierung des Benutzers vertrauenswürdig ist.

Authentifizierungs-Apps ersetzen die Notwendigkeit, einen Verifizierungscode per Text, Anruf oder E-Mail zu erhalten. Um zum Beispiel auf eine Website oder einen webbasierten Dienst zuzugreifen, der Google Authenticator unterstützt, geben die Nutzer ihren Benutzernamen und ihr Passwort ein – ein Wissensfaktor. Anschließend werden die Nutzer aufgefordert, eine sechsstellige Zahl einzugeben. Anstatt einige Sekunden auf den Erhalt einer Textnachricht warten zu müssen, generiert ein Authenticator die Nummer für sie. Diese Nummern ändern sich alle 30 Sekunden und sind bei jeder Anmeldung anders. Durch die Eingabe der richtigen Nummer schließen die Benutzer den Verifizierungsprozess ab und beweisen, dass sie das richtige Gerät besitzen – ein Eigentumsfaktor.

Diese und andere 2FA-Produkte bieten Informationen zu den Mindestsystemanforderungen, die für die Implementierung von 2FA erforderlich sind.

Ist die Zwei-Faktor-Authentifizierung sicher?

Auch wenn die Zwei-Faktor-Authentifizierung die Sicherheit verbessert – weil das Zugriffsrecht nicht mehr allein von der Stärke eines Passworts abhängt – sind Zwei-Faktor-Authentifizierungssysteme nur so sicher wie ihre schwächste Komponente. So hängen beispielsweise Hardware-Tokens von der Sicherheit des Ausstellers oder Herstellers ab. Einer der bekanntesten Fälle eines kompromittierten Zwei-Faktor-Systems ereignete sich 2011, als das Sicherheitsunternehmen RSA Security meldete, dass seine SecurID-Authentifizierungstoken gehackt worden waren.

Der Kontowiederherstellungsprozess selbst kann ebenfalls unterwandert werden, wenn er zur Umgehung der Zwei-Faktor-Authentifizierung verwendet wird, da er häufig das aktuelle Kennwort eines Benutzers zurücksetzt und ein temporäres Kennwort per E-Mail sendet, damit sich der Benutzer erneut anmelden kann und der 2FA-Prozess umgangen wird. Die geschäftlichen Gmail-Konten des Geschäftsführers von Cloudflare wurden auf diese Weise gehackt.

Obwohl die SMS-basierte 2FA kostengünstig, einfach zu implementieren und als benutzerfreundlich gilt, ist sie für zahlreiche Angriffe anfällig. Das National Institute of Standards and Technology (NIST) hat in seiner Sonderveröffentlichung 800-63-3: Digital Identity Guidelines von der Verwendung von SMS in 2FA-Diensten abgeraten. Das NIST kam zu dem Schluss, dass OTPs, die per SMS gesendet werden, aufgrund von Angriffen auf das Mobiltelefonnetz durch die Portabilität von Handynummern, wie z. B. dem Signaling System 7 Hack, und Malware, wie z. B. Eurograbber, die zum Abfangen oder Umleiten von Textnachrichten verwendet werden kann, zu anfällig sind.

Höhere Authentifizierungsebenen

Die meisten Angriffe gehen von entfernten Internetverbindungen aus, so dass 2FA diese Angriffe weniger bedrohlich macht. Die Erlangung von Passwörtern reicht für den Zugriff nicht aus, und es ist unwahrscheinlich, dass ein Angreifer in der Lage ist, auch den zweiten Authentifizierungsfaktor zu erlangen, der mit einem Benutzerkonto verbunden ist.

Angreifer knacken jedoch manchmal einen Authentifizierungsfaktor in der physischen Welt. Beispielsweise könnte eine hartnäckige Durchsuchung der Räumlichkeiten des Zielunternehmens eine Mitarbeiter-ID und ein Passwort im Müll oder in achtlos weggeworfenen Speichermedien mit Passwortdatenbanken ergeben. Wenn jedoch zusätzliche Faktoren für die Authentifizierung erforderlich sind, steht der Angreifer vor mindestens einem weiteren Hindernis. Da die Faktoren unabhängig voneinander sind, sollte die Kompromittierung eines Faktors nicht zur Kompromittierung der anderen führen.

Aus diesem Grund erfordern einige Hochsicherheitsumgebungen eine anspruchsvollere Form der MFA, wie z. B. die Drei-Faktor-Authentifizierung (3FA), die in der Regel den Besitz eines physischen Tokens und eines Passworts in Verbindung mit biometrischen Daten wie Fingerabdruck-Scans oder Stimmabdrücken beinhaltet. Faktoren wie Geostandort, Gerätetyp und Tageszeit werden ebenfalls verwendet, um zu bestimmen, ob ein Benutzer authentifiziert oder gesperrt werden soll. Darüber hinaus können auch biometrische Verhaltensmerkmale wie die Länge der Tastenanschläge, die Tippgeschwindigkeit und die Mausbewegungen eines Benutzers diskret in Echtzeit überwacht werden, um eine kontinuierliche Authentifizierung anstelle einer einmaligen Authentifizierungsprüfung bei der Anmeldung zu ermöglichen.

Push-Benachrichtigungen für 2FA

Eine Push-Benachrichtigung ist eine passwortlose Authentifizierung, bei der ein Benutzer verifiziert wird, indem eine Benachrichtigung direkt an eine sichere App auf dem Gerät des Benutzers gesendet wird, die den Benutzer darauf hinweist, dass ein Authentifizierungsversuch stattfindet. Der Benutzer kann die Details des Authentifizierungsversuchs einsehen und den Zugriff entweder genehmigen oder verweigern – in der Regel mit einem einzigen Fingertipp. Wenn der Benutzer die Authentifizierungsanfrage genehmigt, empfängt der Server diese Anfrage und meldet den Benutzer bei der Webanwendung an.

Push-Benachrichtigungen authentifizieren den Benutzer, indem sie bestätigen, dass sich das beim Authentifizierungssystem registrierte Gerät – in der Regel ein mobiles Gerät – im Besitz des Benutzers befindet. Wenn ein Angreifer das Gerät kompromittiert, werden auch die Push-Benachrichtigungen kompromittiert. Push-Benachrichtigungen beseitigen die Möglichkeiten für Man-in-the-Middle-Angriffe (MitM), unbefugten Zugriff sowie Phishing- und Social-Engineering-Angriffe.

Die Push-Benachrichtigungen sind zwar sicherer als andere Formen der Authentifizierungsmethoden, aber es bestehen dennoch Sicherheitsrisiken. So könnten Benutzer beispielsweise versehentlich eine betrügerische Authentifizierungsanfrage genehmigen, weil sie daran gewöhnt sind, auf „Genehmigen“ zu tippen, wenn sie Push-Benachrichtigungen erhalten.

Zukunft der Authentifizierung

Die Verwendung von Passwörtern als Hauptauthentifizierungsmethode bietet nicht mehr die von den Benutzern geforderte Sicherheit und Benutzerfreundlichkeit (UX). Und obwohl ältere Sicherheitstools wie Passwort-Manager und MFA versuchen, die Probleme von Benutzernamen und Passwörtern zu lösen, hängen sie von einer im Grunde veralteten Architektur ab: der Passwort-Datenbank.

Deshalb erforschen Unternehmen, die die Sicherheit in der Zukunft verbessern wollen, den Einsatz von passwortlosen Authentifizierungstechnologien, um die Benutzerfreundlichkeit zu verbessern.

Mit der passwortlosen Authentifizierung können sich Benutzer sicher in ihren Anwendungen authentifizieren, ohne Passwörter eingeben zu müssen. In Unternehmen bedeutet dies, dass Mitarbeiter auf ihre Arbeit zugreifen können, ohne Passwörter eingeben zu müssen – und die IT-Abteilung behält trotzdem die volle Kontrolle über jede Anmeldung.

Biometrie und sichere Protokolle sind einige Beispiele für passwortlose Authentifizierungstechnologien.

Die Verwendung von Biometrie als passwortlose Authentifizierungsmethode auf Benutzer-, Anwendungs- und Geräteebene kann Unternehmen besser versichern, dass die Mitarbeiter, die sich bei den Systemen anmelden, auch die sind, die sie vorgeben zu sein.

Protokolle sind ein weiteres Beispiel für passwortlose Technologien. Protokolle sind Standards, die die Kommunikation zwischen einem Identitätsanbieter und einem Dienstanbieter vereinfachen sollen. Ein Mitarbeiter, der beim Identitätsanbieter authentifiziert ist, ist auch bei den zugewiesenen Dienstanbietern authentifiziert, ohne ein Kennwort eingeben zu müssen.

Der Verzicht auf ein Kennwort ist für Unternehmen von Vorteil, da die Abschaffung des Kennworts zu einer besseren Benutzerfreundlichkeit für ihre Mitarbeiter führt. Die passwortlose Authentifizierung bietet neue Möglichkeiten für Mitarbeiter, sich einfach und sicher bei ihrer Arbeit anzumelden, ohne sich auf Passwörter verlassen zu müssen. Dadurch entfallen die Wiederherstellung von Konten, die Aufforderung zum Zurücksetzen von Passwörtern und der manuelle Prozess der Passwortrotation.