Zwei-Faktoren-Authentifikation

aus SecuPedia, der Plattform für Sicherheits-Informationen

(Weitergeleitet von 2FA)
Anzeige
Wechseln zu: Navigation, Suche
Beispiel: Microsoft Authentifikator

Bei der Zwei-Faktor-Authentisierung (2FA) werden zur Überprüfung eines Benutzers oder einer Transaktion Wissen, Besitz oder biometrischen Merkmalen kombiniert. Durch Nutzung einer zweiten Methode sind Berechtigungen stärker geschützt.

Passwort

Bisher übliche Authentifizierungsmethoden per Passwörter reichen in einer stärker vernetzten Welt, einer Welt, in der immer größere materielle und immaterielle Werte durch Augen einer digitale Gesellschaft betrachtet werden, nicht mehr aus. Passwörter gelten als Grundschutz, um Schäden abzuwenden und Informationen zu schützen. Bei höherem Schutzbedarf oder höheren Gefährdungen müssen weiterreichendere Schutzmechanismen eingeführt werden.

Üblich ist derzeit: Zusätzlich zum Passwort muss man beim Log-in noch einen meist 4-stelligen Zifferncode eingeben. Den zusätzlichen Code erhält man über das Smartphone wahlweise per SMS oder mithilfe einer Authentifizierungsapp (etwa Google Authenticator oder Microsoft Authentifikator).


Einmal Passwörter

Einmal-Passwörter [1] stellen eine Alternative zur Zwei-Faktor-Authentifizierung dar. Einmal-Passwörter werden durch ein Hardwaretoken generiert. Einmal-Passwörter schützen vor Keyloggern oder anderen Schadprogrammen, die Passwörter mitlesen.


"Passwortlose" Alternativen

Die FIDO-Allianz entwickelt nutzerfreundliche Alternativen zu Passwörtern. Dabei setzt FIDO auf ein duales Sicherheitssystem. Dies bedeutet, dass man einerseits einen öffentlichen Schlüssel hat, der auf dem Server registriert ist. Daneben besitzt man noch eine private Sicherheitsabfrage, wie beispielsweise ein biometrisches Merkmal oder eine PIN. Dieser wird aber nicht auf den Servern gespeichert, sondern verbleibt lokal beim Nutzer (Public key-Verfahren). Damit wird es für Hacker schwerer, da ein Passwort nicht mehr übertragen wird.


Teleheimarbeitsplatz

Die Arbeitsform des Teleheimarbeitsplatzes in Verbindung mit der Vereinbarkeit von Familie und Beruf wird für viele Unternehmensformen immer wichtiger, um Wissenträger/innen nicht zu verlieren. Durch die Mischnutzung der Heimnetze stellt dies eine Bedrohung der internen IT dar. Klassische Schutzmechanismen wirken nicht mehr. Bei der Nutzung von Heimarbeitsplätzen muss eine Verbindung in das interne Firmen-Netz geöffnet werden, die missbraucht werden kann und die es zu schützen gilt. Bei der Umsetzung und Handhabung der Schutzmaßnahmen liegt (z.B. bei der Benutzerauthentisierung) ein Risiko, dass beachtet werden muss. Der Zugriff erfolgt meist mittels Internet über Portale per SSL bzw. VPN-Verbindungen. Das BSI hat zur Absicherung des Datentransportes die ISi-VPN[2] veröffentlicht.


Kombination von Authentisierungsmethoden

Durch geeignete Kombination von verschiedenen Authentifizierungsmethoden können Defizite der einzelnen Methoden vermindert werden. Allerdings sind Kombinationen mehrerer Methoden mit höheren Kosten und einem höheren Aufwand verbunden. Wichtiges Kriterium für die Umsetzung einer stärkeren Authentifikation ist die Benutzerakzeptanz. Eine übliche Kombination ist Wissen und Besitz. In Personalausweisdokumenten wird die Kombination von Besitz und Biometrie verwendet.

Wissen

Besitz

Sein (z.B. über Biometrie)

Die EU hat im Rahmen der Umsetzung der 2. Stufe der Zahlungsdienstleisterrichtlinie (PSD2) die Banken verpflichtet, eine "starke Kunden-Authentifizierung" umzusetzen, die mindestens zwei der o.a. Merkmalgruppen berücksichtigt.


Aktuelle 2FA-Übersicht (Anfang 2018)

Eine aktuelle Übersicht der 2FA-Möglichkeiten für die gebräuchlichsten Internetdienste ist im Tipp - Passwortschutz für Internet-Dienste zu finden.


Weblinks


Einzelnachweis

  1. BSI-Grundschutzkatalog zu (M 5.34) Einsatz von Einmalpasswörtern
  2. BSI - Virtual Private Network (ISi-VPN)


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 23. August 2019 um 11:53 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl und Markus Albert.