Multi-Faktor-Authentisierung versus Zwei-Faktor-Authentisierung

Erfahren Sie was 2FA und MFA auszeichnet. Was ist der Unterschied und wie lassen sich die Sicherheitsverfahren benutzerfreundlich gestalten?

Nov 24, 2020 - 3 Min.
Picture of: Alina Fill
Alina Fill

Vom Banking- oder Shopping-Account bis hin zu sensiblen Unternehmens-Daten: Es gibt so viele Informationen, aus denen Cyber-Kriminelle buchstäblich Kapital schlagen können. Einfache Passwortsysteme reichen zur Sicherung schon lange nicht mehr aus. Komplexere Modelle wie Zwei-Faktor- und Multi-Faktor-Authentisierung hingegen bieten besseren Schutz vor unbefugten Zugriffen.

Zwei-Faktor- (2FA) und Multi-Faktor-Authentisierung (MFA) verbessern den Schutz digitaler Daten, indem sich Anwender beim Einloggen mit mindestens zwei verschiedenen Merkmalen identifizieren müssen. Bei der Zwei-Faktor-Authentisierung kann das zusätzlich zu einem guten Passwort etwa der Fingerabdruck sein. Manche Systeme ersetzen auch das Passwort durch einen anderen Faktor.

Bei der Multi-Faktor-Authentisierung können auch noch mehr Berechtigungsnachweise miteinander kombiniert werden, was den Identitätsdiebstahl noch weiter erschwert.

Zum Einsatz kommen 2FA- und MFA-Systeme etwa im elektronischen Zahlungsverkehr, beim Zugriff auf Unternehmens-Netzwerke, bei der Anmeldung an Cloud-Services und web-basierte Applikationen oder auch beim Zutritt zu besonders geschützten physischen Bereichen.

Mehr Sicherheit durch Code, Chipkarte & Co.

Zweistufige Authentisierungssysteme nutzen oft ein zweites Gerät: Der Anwender erledigt die Passwortabfrage beispielsweise auf seinem Laptop, während er gleichzeitig auf sein Smartphone einen Code für die zweite Authentisierungsstufe zugeschickt bekommt. Andere Möglichkeiten für die Zwei-Faktor-Authentisierung bieten etwa Chipkarten und spezielle Kartenlesegeräte, wie sie oft von Geldinstituten fürs Online-Banking eingesetzt werden. Oder ein USB-Token, das ähnlich wie ein Kopierschutzstecker funktioniert, generiert auf Knopfdruck eine Zahlenkombination, die der Anwender für einen definierten Zeitraum zur Authentisierung nutzen kann.

Wissen allein genügt nicht

Sowohl die Zwei-Faktor- als auch die Multi-Faktor-Authentisierung erfordert Authentisierungs-Faktoren, die aus mehreren unterschiedlichen Kategorien stammen:

Geheimes Wissen („Something you know“)

  • Passwort
  • Pincode

Besitz („Something you have”)

  • Smartphone
  • Chipkarte
  • USB-Token
  • TAN-Generator

Biometrie („Something you are”)

  • Fingerabdruck
  • Face ID
  • Iris
  • Venenbild

Standort („Trusted location”)

  • Geografischer Standort, ermittelt durch IP-Adresse oder GPS

Wie funktionieren Zwei-Faktor- und Multi-Faktor-Authentisierung?

Der Dienstanbieter kombiniert für die Authentisierung zwei oder mehr Faktoren aus unterschiedlichen Kategorien miteinander. So lässt sich etwa ein Online-Ausweis nur mit den Faktoren „Besitz“ (Chipkarte) und „Wissen“ (PIN-Code) nutzen. Kreditkarten („Besitz“) erfordern neben „Wissen“ (PIN, Karten-Gültigkeitszeitraum und Prüfnummer) oft zusätzlich eine Authentisierung per „Biometrie“ (Fingerabdruck) via Smartphone-App („Besitz“). Je mehr verschiedene Faktoren bei einer Authentisierung zum Einsatz kommen, desto sicherer ist das System gegen Datenklau.

Welche Authentisierungsfaktoren nutzen 2FA und MFA?

Viele Anbieter, wie Geldinstitute, Facebook oder Instagram, verschicken an ihre Anwender via Smartphone Textnachrichten mit einem Authentisierungs-Code – eine Variante, die bei hohem Transaktionsaufkommen kostenintensiv sein kann.

Ebenfalls sehr verbreitet ist die Verwendung der mobilen Authenticator-Apps von Google oder Microsoft. Beide Lösungen generieren ein Kennwort, das nur zeitlich begrenzt nutzbar ist.

Tokens werden von Geldinstituten und von Unternehmen für Kunden- bzw. Mitarbeiter-Logins genutzt. Diese Methode verliert an Bedeutung, weil Anwender zur Anmeldung immer ein Hardware-Token parat haben müssen.

QR-Codes, die mit der Smartphone-Kamera eingescannt werden, nutzt beispielsweise WhatsApp, um den Anwender für die Nutzung der Desktop-App auf einem PC zu authentifizieren.

Biometrische Faktoren wie Fingerabdruck, Iris oder Face ID sind sehr sicher, aber gleichzeitig komfortabel für den Anwender, da keine Codes manuell eingegeben werden müssen.

2FA oder MFA – für welche Lösung sollte man sich entscheiden?

Die Bedeutung von Sicherheit für Online-Transaktionen jeglicher Art kann man gar nicht überschätzen. Trotzdem ist auch die Multi-Faktor-Authentisierung als sicherstes Verfahren nicht unproblematisch. Denn leicht kann das gleichzeitige Hantieren mit unterschiedlichen Geräten und das umständliche Eintippen von Passwörtern und Codes beim Anwender Frust verursachen. Ein schlechtes User-Erlebnis führt dann womöglich dazu, dass der Anwender aus Bequemlichkeit auf weniger sichere Authentisierungsverfahren zurückgreift. Abhilfe kann man hier schaffen, indem man statt Passwörter und Codes eher biometrische Faktoren wie Iris-Scan oder Fingerabdruck einsetzt.

Nicht zuletzt aus Gründen der Anwenderfreundlichkeit bei hohem Sicherheitsniveau ist die Zwei-Faktor-Authentisierung heute das verbreitetere Verfahren – wenn man etwa am Bankautomaten Geld abhebt, dazu die EC-Karte („Besitz“) einführt und anschliessend die PIN-Nummer („Wissen“) eingibt. Immer häufiger findet man 2FA-Systeme, in denen das Mobiltelefon als zweiter Faktor genutzt wird. Der Vorteil: Dieses Gerät hat fast jeder immer dabei, und man muss keine weiteren Identitätsnachweise mit sich herumtragen. Voraussetzung ist lediglich die Verbindung zu einem intakten Mobilfunknetz.

Ziel ist die perfekte Balance zwischen Sicherheit und User-Erlebnis

Die Vorteile von Zwei-Faktoren- und Multi-Faktoren-Authentisierung liegen auf der Hand: mehr Sicherheit bei Online-Transaktionen vor Cyber-Angriffen und Datenklau. Dank Biometrie gibt es heute auch bereits 2FA-Systeme, die hohe Sicherheit perfekt mit maximaler Benutzerfreundlichkeit in Einklang bringen.

Aber haben die beiden Sicherheitskonzepte auch Nachteile? Natürlich gibt es einige Punkte, die zu bedenken sind, wenn man sich für 2FA- oder MFA-Lösungen entscheidet:

  • Kunden, die nicht über aktuelle Smartphones verfügen, können möglicherweise die biometrischen Authentisierungstechnologien nicht nutzen
  • Das Eintippen von komplizierten Passwörtern auf Mobilgeräten ist umständlich und fehleranfällig
  • Die Notwendigkeit umständlicher PIN- und TAN-Eingaben könnte potenzielle User abschrecken

Trotzdem: Verfahren wie QR-Codes zum Abscannen oder Push-Nachrichten, die der User lediglich durch ein Wischen oder ein Tippen auf „Ja“ bestätigen muss, können auch 2FA und MFA zu breiter Akzeptanz verhelfen.

Fazit: Die Vorteile von 2FA und MFA überwiegen deutlich gegenüber den Nachteilen, die sich durch die geschickte Wahl anwenderfreundlicher Authentifizierungsverfahren leicht ausgleichen lassen. Hier ist es nicht einmal notwendig, Kompromisse auf Kosten der Sicherheit einzugehen. Es gilt lediglich, die eingesetzten Authentisierungs-Faktoren möglichst genau auf die anvisierte Anwender-Zielgruppe abzustimmen. Dann gelingt auch die optimale Balance zwischen Sicherheit und Usability.

 

Solution Paper Authentication Cloud