Multifaktor Authentifizierung

Diese Formen der Multifaktor Authentifizierung sollten Sie kennen

Der rein passwortbasierte Log-in hat ausgedient. Zumindest sollte er es haben. Unabhängig davon, ob Sie einen privaten oder beruflichen Account schützen wollen, sollten zu einer Multifaktor Authentifizierung (MFA) greifen.

Doch was ist MFA eigentlich? Kurz gesagt handelt es sich bei Multifaktor Authentifizierung um ein Authentifizierungsverfahren, das neben einem Hauptfaktor (zumeist ein Passwort) einen weiteren Faktor zur Verifizierung der Useridentität abfragt. Nur wer beide abgefragten Informationen richtig eingegeben kann, erhält Zugriff auf die angefragte Ressource. Beim zweiten Faktor unterscheidet man zudem danach, ob es sich um einen Faktor handelt, den die Person physisch besitzt (eine Hardware-Komponente) oder um etwas, dass die Person von sich aus mitbringt (biometrische Daten). Denn MFA ist nicht gleich MFA.

Wir zeigen Ihnen, welche Formen der Authentifizierung es gibt – und worin sie sich unterscheiden.

Passwort als erster Faktor

Die grundlegendste Form der Verifizierung der eigenen Identität bei Onlinediensten oder bei lokalen Applikationen ist das Passwort. Meist wird dieses in Kombination mit einem Benutzernamen oder einer E-Mail-Adresse abgefragt. Diese Form der Authentifizierung ist jedoch – wie eingangs erwähnt – anfällig für Sicherheitsvorfälle. Gerät die Kombination dieser einfachen Zugangsdaten in die Hände einer weiteren Person, kann diese sich ungehindert Zugang zum Account verschaffen und sogar den eigentlichen „Besitzer“ aussperren – etwa indem sie Passwort oder/und die hinterlegte E-Mail-Adresse ändert. Im schlimmsten Fall erhält dadurch ein Angreifer nicht nur Zugriff auf den Account, sondern kann diesen sogar gänzlich übernehmen. Daher sollten Sie auf eine alleinige Authentifizierung mit Passwort und Nutzernamen verzichten. Wann immer ein Dienst eine weitere Form der Authentifizierung anbietet, sollten Sie diese auch nutzen.

Sicherheitsfragen bieten keine Sicherheit

Bei Sicherheitsfragen handelt es sich nicht wirklich um eine Form der Multifaktor Authentifizierung. Dennoch haben die meisten von uns sie sicherlich schön öfter eingesetzt. Grundsätzlich erfüllen diese Abfragen einen ähnlichen Zweck wie die Multifaktor Authentifizierung; sie kommen dann zum Einsatz, wenn sich ein Benutzer aus dem eigenen Mail-Account „ausgesperrt“ hat und nun das Passwort zurücksetzen möchte. Oder aber, um bei Änderungen am Account die Identität zu verifizieren. Dies diente auch dazu, den oben beschriebenen Fall zu verhindern, dass jemand einfach so den Account übernehmen kann.

Leider sind die Antworten oftmals beinahe noch leichter zu erraten als das Passwort selbst. Der Name Ihres Haustiers? Lässt sich bestimmt auf Facebook oder Instagram finden! Der Mädchenname Ihrer Mutter? Über Facebook oder Instagram. Ihre Lieblingsfarbe? Sie ahnen es schon – genau, auf Facebook oder Instagram. Daher ist es wenig ratsam, diese Methode als 2. Faktor zu betrachten. Wenn überhaupt genutzt, kann man hier natürlich das System „überlisten“ und etwa statt der Farbe den Mädchennamen der Mutter an dieser Stelle eintragen. Doch seinen Sie ehrlich: Wüssten Sie das nach einem Jahr noch?

SMS- oder Voice-Code als gängigster zweiter Faktor

Eine sehr verbreitete Form der Multifakor Authentifizierung stellt der sog. SMS- oder Voice-Code dar. Bei dieser Form der Authentifizierung hinterlegen Sie eine Mobilfunk- oder Festnetzrufnummer, an die Sie zur Authentifizierung jeweils einen Code per SMS oder Sprachnachricht geschickt bekommen. Mit diesem Code wiederum verifizieren Sie sich bei der Anwendung. Die Hürden zum Einsatz dieser MFA-Methode sind gering: Die meisten von uns tragen ihr Smartphone ständig bei sich, sodass eine Authentifizierung jederzeit möglich ist. Auch die Eingabe eines vier- bis sechsstelligen Codes aus der SMS ist denkbar einfach.

Obgleich sehr verbreitet, handelt es sich hierbei um eine vergleichsweise schwache Form der Multifaktor Authentifizierung. Das liegt an mehreren Dingen:

  • Die Zustellung von SMS ist nicht fehlerfrei: Eine Zustellung ist z. B. aufgrund von Empfangsproblemen nicht möglich. Mitunter können SMS auch beim Senden „verloren“ gehen. Oder eine Zustellung länger benötigen, als das Time-out der Anwendung erlaubt.
  • Gleichzeitig sind SMS- und Telefonanrufe ebenso anfällig für Phishing und Social Engineering wie Passwörter selbst. Dies betrifft etwa die Möglichkeit, sich anhand von durch Manipulation erschlichenen Daten eine Ersatz-SIM-Karte ausstellen zu lassen.
  • Weiter könnten SMS mittels eines bereits auf Ihrem Smartphone aufgespielten Trojaners mitgelesen werden.
  • Ein Smartphone kann gestohlen werden oder verloren gehen; ist hier keine Bildschirmsperre eingerichtet, könnte ein Dritter Zugang zu Ihren Codes bekommen.

Verstehen Sie uns nicht falsch: Diese Form der MFA ist sicherer, als auf eine MFA zu verzichten. Ein aufgespielter Trojaner ist das wahrscheinlichste Szenario. Aber letztlich müssten die Daten zu Ihrem Account (Passwort/Nutzername) mit Ihren Telefondaten oder Ihrem Smartphone gestohlen werden. Zu einem Zeitpunkt, an dem ein Code gültig ist. Dies ist zusammen genommen doch recht unwahrscheinlich; oder benötigt viel Vorarbeit seitens der Hacker, um alle Informationen zu Ihnen, Ihren Passwörtern und Ihren Devices gebündelt zu erhalten.

Vertrauenswürdiges Gerät für einfache Verifizierung

Sie können ebenfalls ein Gerät, das nicht dupliziert werden kann, zur Authentifizierung verwenden. Bei diesem „vertrauenswürdigen Gerät“ kann es sich etwa um ein Smartphone handeln, das aufgrund der Zusammensetzung aus individuellen Hard- und Softwarekomponenten einzigartig ist. Meist wird zur Abfrage der Identität hierbei zusätzlich z. B. der Sperrcode des Startbildschirms genutzt, um eine missbräuchliche Nutzung des Devices auszuschließen. Die Nutzung dieser Form der Authentifizierung ist ebenfalls sehr einfach. Das Smartphone tragen wir ständig bei uns und die Eingabe unseres Sperrcodes sind wir aus dem Alltag gewohnt. Ein Verlust der Hardware kann jedoch dazu führen, dass Sie keinen Zugriff mehr auf Ihre durch MFA geschützten Services und Applikationen erhalten. Daher ist es ratsam, eine alternative Authentifizierungsmöglichkeit zu hinterlegen.

Multiwaffe Authenticator Apps

Verschiedene Hersteller bieten sog. Authenticator Apps an. Diese sind für die gängigen iOS- und Android-Versionen geeignet und können auf den allermeisten Smartphones genutzt werden. Um einen Dienst oder eine Applikation zu dem Authenticator hinzuzufügen, bieten kompatible Dienste meist den Scan per QR-Code an. Dieser wird einmalig für den Nutzer erzeugt. Nach der Verknüpfung von Authenticator und Applikation kann eine weitere Authentifizierung auf einem bestimmten Gerät mittels 2. Faktor für einen bestimmten Zeitraum ausgeschlossen werden. Dies erhöht die Nutzerfreundlichkeit erheblich.

Grundsätzlich gibt es für Authenticator Apps drei Anwendungsmöglichkeiten:

  • Push-Approvals
    Diese sind eine bequeme Möglichkeit, einen Anmeldeversuch bei einem verbunden Dienst zu bestätigen. User können den eigenen Anmeldeversuch mit einem Klick bestätigen – oder aber verdächtige Ereignisse ablehnen. Erst nach der Bestätigung wird der Zugriff freigegeben. Für eine erhöhte Sicherheit sind diese Push-Approvals nur eine festgelegte Zeit gültig.
  • Erzeugung von Einmalcodes
    Gleichzeitig erstellen Authenticator Apps Prüfcodes. Die Codeerstellung beruht meist auf der automatisierten sog. OATH TOTP (Time-based One-Time Password)-Methode; diese nutzt einen Ihnen und dem Server bekannten Schlüssel sowie die aktuelle Zeit, um alle 30 Sekunden einen neuen, individuellen Code zu erzeugen. Durch die Kurzlebigkeit dieser Codes wird selbst ein geknackter Code wertlos.
  • Biometrische Anmeldung
    Eine oft genutzte Möglichkeit ist die Anmeldung mit biometrischen Merkmalen wie Fingerabdruck oder Gesichtsscan. Diese werden einmalig in der App hinterlegt, sodass künftig keine Anmeldeinformationen mehr eingegeben müssen. Die biometrische Anmeldung gilt als besonders sicher, da deren Fälschung extrem schwer ist. Doch biometrischer Scan ist nicht gleich biometrischer Scan; je nach Hersteller kann die Sicherheit der Systeme aufgrund der Methode unterschiedlich ausfallen.

Die Authenticator Apps verbinden mehrere Vorteile für den Nutzer. Sie laufen auf herkömmlichen (mobilen) Devices, die jeder von uns ständig bei sich trägt. Gleichzeitig automatisieren sie die Anmeldung an verschiedenen Diensten oder Applikationen und sind durch ihre Einstellmöglichkeiten sehr nutzerfreundlich. Und dabei sind sie besonders sicher. Einige Authenticator Apps bieten zudem eine verschlüsselte Speicherung in der Cloud an – oder zumindest einen verschlüsselten Back-up-Token über diese. So sind diese verlust- und ausfallsicher, da diese nicht an ein einzelnes Gerät gebunden sind.

Hardware-Token

Eine weitere Möglichkeit ist die Nutzung von sog. Hardware-Token. Dies sind kleine Speicherchips mit je nach Hersteller verschiedenem Erscheinungsbild und Funktionsumfang. Ebenso wie Authenticator Apps diesen sie zur Erzeugung von Einmalpasswörtern, weshalb sie auch unter dem Begriff OTP-Token (One-Time Password) bekannt sind. Die erzeugten Einmalcodes funktionieren ähnlich der in einer Authenticator App erzeugten Codes. Neben OTP-Token gibt es auch die Möglichkeit auf  FIDO U2F TOKEN zu setzen. Dieser beruht auf einer Public-Key-Verschlüsselung und setzt somit auf eine gänzlich andere Form der Verschlüsselung, bei der der Nutzer sich ebenfalls an der Hardware ausweisen muss.

Der Vorteil von Hardware-Token liegt klar darin, dass auch Mitarbeiter kostengünstig ausgestattet werden können, die kein Firmen-Smartphone besitzen. Gleichzeitig bieten Hardware-Token weniger Komfort in der Anwendung als etwa ein Smartphone. Denn Letzteres ist integraler Bestandteil unseres Alltags, während ein Hardware-Token oftmals als störend empfunden wird.

Auf welche Form der Authentifizierung mit einem zweiten Faktor Sie letztlich setzen, ist Ihren Vorlieben überlassen. Jede Form hat Vor- und Nachteile, insbesondere im Bereich des Handlings und der Nutzerfreundlichkeit.

Und doch bleibt anzumerken: Jede Form der Multifaktor Authentifizierung ist besser als keine Multifaktor Authentifizierung.