Zwei-Faktoren-Authentifikation

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Beispiel: Microsoft Authentifikator

Bei der Zwei-Faktor-Authentisierung werden zur Überprüfung eines Benutzers oder einer Transaktion Wissen, Besitz oder biometrischen Merkmalen kombiniert. Durch Nutzung einer zweiten Methode sind Berechtigungen stärker geschützt.

Passwort

Bisher übliche Authentifizierungsmethoden wie PIN oder Passwörter reichen in einer stärker vernetzten Welt, einer Welt, in der immer größere materielle und immaterielle Werte durch Augen einer digitale Gesellschaft betrachtet werden, nicht mehr aus. Passwörter gelten als Grundschutz, um Schäden abzuwenden und Informationen zu schützen. Bei höherem Schutzbedarf oder höheren Gefährdungen müssen weiterreichendere Schutzmechanismen eingeführt werden.

Üblich ist derzeit: Zusätzlich zum Passwort muss man beim Log-in noch einen meist 4-stelligen Zifferncode eingeben. Den zusätzlichen Code erhält man über das Smartphone wahlweise per SMS oder mithilfe einer Authentifizierungsapp (etwa Google Authenticator oder Microsoft Authentifikator).


Einmal Passwörter

Einmal-Passwörter [1] stellen eine Alternative zur Zwei-Faktor-Authentifizierung dar. Einmal-Passwörter werden durch ein Hardwaretoken generiert. Einmal-Passwörter schützen vor Keyloggern oder anderen Schadprogrammen, die Passwörter mitlesen. Aufgrund des Hardwaretokens (Besitz und Wissen) sind auch die Einmal-Passwörter der Kategorie Zwei-Faktoren-Authentifizierung zuzuordnen.


Teleheimarbeitsplatz

Die Arbeitsform des Teleheimarbeitsplatzes in Verbindung mit der Vereinbarkeit von Familie und Beruf wird für viele Unternehmensformen immer wichtiger, um Wissenträger/innen nicht zu verlieren. Durch die Mischnutzung der Heimnetze stellt dies eine Bedrohung der internen IT dar. Klassische Schutzmechanismen wirken nicht mehr. Bei der Nutzung von Heimarbeitsplätzen muss eine Verbindung in das interne Firmen-Netz geöffnet werden, die missbraucht werden kann und die es zu schützen gilt. Bei der Umsetzung und Handhabung der Schutzmaßnahmen liegt (z.B. bei der Benutzerauthentisierung) ein Risiko, dass beachtet werden muss. Der Zugriff erfolgt meist mittels Internet über Portale per SSL bzw. VPN-Verbindungen. Das BSI hat zur Absicherung des Datentransportes die ISi-VPN[2] veröffentlicht.


Kombination von Authentisierungsmethoden

Durch geeignete Kombination von verschiedenen Authentifizierungsmethoden können Defizite der einzelnen Methoden vermindert werden. Allerdings sind Kombinationen mehrerer Methoden mit höheren Kosten und einem höheren Aufwand verbunden. Wichtiges Kriterium für die Umsetzung einer stärkeren Authentifikation ist die Benutzerakzeptanz. Eine übliche Kombination ist Wissen und Besitz. In Personalausweisdokumenten wird die Kombination von Besitz und Biometrie verwendet.


Wissen


Besitz


Biometrie


Weblinks


Einzelnachweis

  1. BSI-Grundschutzkatalog zu (M 5.34) Einsatz von Einmalpasswörtern
  2. BSI - Virtual Private Network (ISi-VPN)


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 5. Dezember 2016 um 17:44 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Markus Albert.

Anzeigen