Authentisieren, authentifizieren & autorisieren: Multi-Faktor-Authentifizierung

Unsere Kurzserie „Authentisieren, authentifizieren & autorisieren“ endet mit dem heutigen Beitrag über Multi-Faktor-Authentifizierung (MFA). Nachdem wir erklärt haben, was Multi-Faktor-Authentifizierung bedeutet, gehen wir auf die Vor- und Nachteile ein und stellen Ihnen mögliche Faktoren vor, mit deren Hilfe Sie sich effektiv vor Cyberkriminellen schützen können und Identitätsdiebstahl zu vermeiden. Lesen Sie weiter und bleiben Sie gespannt wie Sie mit Multi-Faktor-Authentifizierung Ihre Account-Sicherheit erhöhen können.

Was ist Multi-Faktor-Authentifizierung?

Die Multi-Faktor-Authentifizierung (MFA) stellt ein Authentifizierungsverfahren dar, bei dem mehrere Berechtigungsnachweise – die Faktoren – kombiniert werden. Sie kennen die MFA von Ihrem Online-Banking, wenn Sie Transaktionen verifizieren, aber auch von Login-Verfahren, die durch zusätzliche Faktoren abgesichert werden.

Im vergangenen Jahr haben wir die Zwei-Faktor-Authentifizierung (2FA) erklärt – der Variante der Multi-Faktor-Authentifizierung, bei der ein zweiter Faktor zum Authentifizieren oder Verifizieren verwendet wird. Die Grundprinzipien, die wir im oben verlinkten Beitrag beschrieben haben, sind dieselben wie die der Multi-Faktor-Authentifizierung. So kommen bei der 2FA und der MFA folgende mögliche Authentifizierungsarten infrage:

• Wissen: Ein Geheimnis, welches Nutzende kennen, beispielsweise Kennwörter, PINs oder Passphrasen.
• Besitz: Etwas, was Nutzende besitzen, beispielsweise Schlüssel oder Token.
• Merkmal: Merkmale, die Nutzenden eindeutig zuzuordnen sind, beispielsweise die Iriserkennung, der Fingerabdruck oder sonstige biometrischen Daten.

Werden nun beispielsweise Wissen (Passwort) und Merkmal (Fingerabdruck) genutzt, handelt es sich um 2FA, weitere Faktoren wie Token können die Multi-Faktor-Authentifizierung ergänzen.

Multi-Faktor-Authentifizierung: Vor- und Nachteile

Der größte Vorteil der Multi-Faktor-Authentifizierung liegt auf der Hand: Mit jedem zusätzlichen Faktor rückt das Bedrohungsszenario des Identitätsdiebstahls in weitere Ferne. Denn selbst wenn das Passwort kompromittiert wurde, wird der Zugang durch mindestens einen weiteren Berechtigungsnachweis geschützt.

Nachteile ergeben sich oft in der Usability: Je mehr Faktoren Nutzende beim Anmelden verwenden müssen, umso aufwendiger wird der Anmeldevorgang. Kommt außerdem einer der Faktoren abhanden, kann zunächst nicht auf das System zugegriffen werden. Beim Ersetzen des verlorenen Faktors entsteht ein enormer Mehraufwand.

Dennoch: Je mehr Faktoren Einsatz finden, umso sicherer sind Authentifizierungsverfahren. Ein aktueller Bericht des US-Magazins The Record zeigt, dass mittlerweile rund 1.200 Phishing-Toolkits kursieren, mit denen die Zwei-Faktor-Authentifizierung attackiert werden kann. Dem Bericht zufolge ist die häufigste Variante der Diebstahl von Authentifizierungs-Tokens vom Rechner. Diese sind nicht unpraktisch: Nutzende müssen sich nicht bei jedem Aufrufen einer Seite neu einloggen, sondern können über eine gewisse Zeit hinweg angemeldet bleiben. Angreifende, die im Besitz eines solchen Tokens sind, kommen an der Authentifizierung einfach vorbei.

Die zweithäufigste Variante sind Man-in-the-middle-Angriffe: Angreifende schieben sich zwischen Dienstanbietenden und Nutzenden, um Daten abzugreifen – für die in dem Bericht beschriebenen Identitätsdiebstähle werden Codes für Login-Verfahren abgegriffen. Das gelingt Kriminellen mittels Malware auf Smartphones: Loggen sich Nutzende dann in Online-Dienste ein und warten auf 2FA-Codes, die per SMS gesendet werden, können die Angreifenden diese abfangen. Um ein derartiges Szenario zu vermeiden, ist es sinnvoll, für den zweiten Faktor andere Geräte zu verwenden.

Beim Einsatz von Multi-Faktor-Authentifizierung ist also die richtige Kombination gefragt: Der Anmeldeprozess darf Nutzende nicht überfordern, Cyberkriminelle aber auch nicht unterfordern.

Multi-Faktor-Authentifizierung: Mögliche Faktoren

Um die richtige Kombination verschiedener Faktoren anzugehen, stellen wir Ihnen im Folgenden einige mögliche Faktoren vor:

• OTP/ TAN: Mit One-Time-Passwörtern (OTP) oder Transaktionsnummern (TAN) fungieren Einmalkennwörter als Faktor. Diese OTP/ TAN können per Anruf, SMS, Software (etwa mit Authenticator-Apps) oder Hardware (TAN-Generatoren) zu Nutzenden gelangen.
• Token: Token speichern kryptografische Schlüssel, die als weiterer Faktor Einsatz finden.
• Standort: Authentifizierungsmethoden können durch geografische oder netzwerkbasierte Einschränkungen zusätzliche Sicherheit erlangen. Standortbedingungen, die Nutzende zum Authentifizieren erfüllen müssen, können beispielsweise so konfiguriert werden, dass der Zugriff durch Anwendende nur dann möglich ist, wenn diese sich im Unternehmensnetzwerk oder in bestimmten Ländern befinden.
• eID/ elektronischer Personalausweis: Der elektronische Personalausweis („eID“) lässt sich zur Authentifizierung für diverse Online-Dienste nutzen. Berechtigungszertifikate ermöglichen, auf gespeicherte Daten zuzugreifen – außerdem auf Seiten der Bürgerinnen und Bürger, zu erkennen, wer zu welchem Zweck auf welche Daten zugegriffen hat.

Multi-Faktor-Authentifizierung: Sicher authentifizieren

Die Multi-Faktor-Authentifizierung stellt als Prozess der Account-Sicherheit ein probates Mittel gegen Identitätsdiebstahl dar: Mit zwei oder mehreren separat auszuführenden Schritten der Authentifizierung mit verschiedenen Faktoren – idealerweise auf verschiedenen Geräten – können Nutzende ihre Identität sicher nachweisen. Cyberkriminellen wird es schwer gemacht, Authentifizierungsdaten abzufischen – und selbst wenn dies bei einem Faktor gelingen sollte, schützen ein oder mehrere weitere vor dem Identitätsdiebstahl.

Wenngleich jeder einzelne Faktor einen Schutzbaustein bildet, sollten im praktischen Einsatz auch Nutzende bedacht werden: Die Usability darf nicht zu stark leiden. Da jedoch Multi-Faktor-Authentifizierung immer mehr im Kommen ist und die meisten Nutzenden zumindest die 2FA bereits gewohnt sind, ist diese Hürde auf dem Weg zu mehr Sicherheit eher gering.