2FA ist nicht gleich 2FA. Setzen Sie auf Sicherheit!

Nicht alle 2FA/MFA-Faktoren sind absolut sicher. Doch es gibt einen Ausweg. Hier erfahren Sie mehr.

Feb 28, 2022 - 4 Min.
Picture of: Branka Miljanovic
Branka Miljanovic

Sicherheit ist ein heikles Thema. Meist gehen wir davon aus, dass mehr Personalisierung auch mehr Sicherheit bedeutet. Das ist aber ein grosser Irrtum. Und der kann sogar gefährlich werden, wenn man die zahlreichen Sicherheitsrisiken bedenkt. Schauen wir uns das genauer an.

Erst vor wenigen Jahren führten die grossen Technologiekonzerne und einige andere Plattformen mit der Zwei-Faktor-Authentifizierung (2FA) ein neues Sicherheitsverfahren ein, das später noch zur Multi-Faktor-Authentifizierung erweitert wurde. Das Versprechen von damals klang toll – und das tut es immer noch. Passwörter allein sind einfach nicht sicher genug. Das liegt vor allem daran, dass wir bevorzugt Passwörter verwenden, die wir uns leicht merken können. Doch genau aus diesem Grund sind sie auch leicht zu knacken. Um es ganz klar zu sagen: iloveyou ist eindeutig KEIN sicheres Passwort! Oder wir wählen Passwörter, die zwar kompliziert genug sind, die wir aber für mehrere Geräte und Plattformen verwenden, weil wir uns so schlichtweg nur EIN schwieriges Passwort merken müssen. Das kann natürlich funktionieren. Und zwar genau so lange, bis ein Cyberkrimineller dieses Passwort in die Finger bekommt.

All das ist vollkommen verständlich, insbesondere wenn man sich vor Augen führt, wie viele Passwörter wir im Kopf behalten müssen. Schätzungen zufolge sind es an die 100. Da kann doch niemand erwarten, dass man sich jedes Mal ein anderes merkt. 2FA und MFA wurden also entwickelt, um die Verifizierung mit einem zweiten Authentifizierungsschritt sicherer zu machen. Einem weiteren Faktor sozusagen.

Digital bedeutet nicht gleich besser.

Die anfängliche Begeisterung für 2FA bzw. MFA war gross. Die Unternehmen, die das Verfahren als erstes anboten, verkauften es als narrensichere Möglichkeit, um sicherzustellen, dass nur befugte Personen Zugang zu passwortgeschützten Daten erhalten. Doch sie unterschätzten, welchen Aufwand die Hacker zu betreiben bereit waren, um auch diese Sicherheitsbarriere zu überwinden. Ausserdem zeigte sich schnell, dass nicht alle 2FA/MFA-Faktoren gleich gut sind. Denn einige sind deutlich sicherer als andere. Das lässt sich ganz einfach veranschaulichen. 

Nehmen wir einmal an, Sie möchten am Geldautomaten etwas abheben. Der Ablauf ist recht sicher. Sie brauchen dafür Ihre Bankkarte und Ihre PIN. Diese würde man vor dem Hintergrund der Zwei-Faktor-Authentifizierung als Besitz (Karte) und Wissen (PIN) bezeichnen. Und beide sind nötig, damit Sie an Ihr Geld kommen. Nehmen wir nun aber an, dass Ihr „Wissen“ stattdessen in einer Einmal-PIN besteht, die Sie von einem Dritten erhalten. Das könnte jemand sein, der neben Ihnen steht und Ihnen die Zahlenfolge zuruft, was dann aber auch zahlreiche Passanten und Umstehende mitbekommen. 

Das würden sicherlich die meisten von uns zurecht als unsicher einstufen. Denn wie gut kann ein Passwort oder eine PIN schon sein, wenn sie jeder kennt? Trotz dieses Wissens verlassen wir uns auf genau dieses Verfahren, wenn es uns in der digitalen Sphäre als Sicherheitsprotokoll verkauft wird. Das gilt insbesondere, wenn wir 2FA/MFA-Protokolle mit Einmalkennwörtern (OTP) nutzen, die uns per E-Mail oder SMS zugeschickt werden. 

SMS und E-Mails sind die Schwachstellen

Je raffinierter unsere Sicherheitsverfahren sind, desto mehr Umgehungsmöglichkeiten bieten sich auch den Hackern. 2FA/MFA ist noch immer eine der besten Alternativen für eine starke Identitätsverifizierung und verhindert den unberechtigten Zugriff auf Daten und Konten. Doch beim Faktor Wissen bewegen sich 2FA und MFA auf äusserst dünnem Eis. Das gilt insbesondere im Bereich der Telekommunikation. 

Viele Dienste, darunter Social-Media-Plattformen und Online-Zahlungsdienstleister, nutzen bei der 2FA Einmalkennwörter als zusätzlichen Authentifizierungsfaktor. Wenn man sich von einem unbekannten Gerät aus anmelden möchte, erhält man eine SMS mit einem einmaligen Passwort auf sein Mobilgerät, um seine Identität zu bestätigen. Dieses Passwort kann jedoch auf zahlreichen Wegen in die falschen Hände gelangen. Hier zeigen wir Ihnen einige davon:

  • Mehrere Geräte, ein Login: Viele unserer Geräte sind miteinander verbunden. Das ist sehr praktisch und hilft uns dabei, miteinander in Verbindung zu bleiben. Es kann aber auch bedeuten, dass ein Einmalkennwort, das an Ihr Handy geschickt wird, zugleich auch an Ihr iPad, Ihren Laptop oder Ihren Arbeits-PC übermittelt wird. Das ist vor allem dann ein Problem, wenn Ihre Geräte auch bei gesperrtem Bildschirm Benachrichtigungen anzeigen. Ganz nebenbei: Benachrichtigungen im Sperrbildschirm sollte man aus diversen Sicherheitserwägungen heraus grundsätzlich deaktivieren.
  • Kompromittierte SIM-Karten: Ist Ihre SIM-Karte mit einer Schadsoftware infiziert, können Dritte problemlos Ihre Nachrichten abfangen. Genauso gefährlich sind SIM-Karten ohne eigene PIN. Denn wenn Ihr passwortgeschütztes Telefon verloren geht oder gestohlen wird, können die Diebe PIN-lose SIM-Karten ganz einfach in ein anderes Gerät einsetzen – und schon gehen all Ihre Nachrichten dorthin. Noch ein Hinweis: Auch Ihre SIM-Karten sollten natürlich durch eine PIN geschützt werden!
  • Gefälschte SIM-Karten: Es ist leider weder unmöglich noch besonders kompliziert, eine neue SIM-Karte mit Ihrer Telefonnummer zu bekommen. Und wer die hat, kann Ihre Nachrichten mitlesen. Auch Ihre Einmalkennwörter.

Welche Möglichkeiten bleiben uns also überhaupt noch?

Ist 2FA/MFA noch sicher?

Wie oben beschrieben wurde, ist das Konzept, das hinter 2FA/MFA steht, durchaus solide. Nur die SMS (bzw. E-Mail) bietet eine Angriffsfläche. Doch es gibt zahlreiche andere Faktoren und Authentifizierungsmöglichkeiten, die ein Mass an Sicherheit gewähren, wie es Unternehmen brauchen und wie man es bei 2FA/MFA eigentlich erwartet. Dabei handelt es sich um Faktoren wie Geolokalisierung oder physikalische Authentifizierungsschlüssel, die viel schwieriger zu fälschen bzw. abzufangen sind als SMS-Nachrichten mit Einmalkennwörtern. Sie sind aber auch nicht unbedingt besonders benutzerfreundlich. Die Geolokalisierung kann den Anwendern mitunter beträchtliche Probleme beim Zugang bereiten (mehr zum Thema Geolokalisierung finden Sie in unserem Artikel Die Risiken der passwortgeschützten Authentifizierung). Und physikalische Schlüssel muss man stets bei sich tragen. 

Es gibt aber noch eine andere Möglichkeit, die vielen von uns wortwörtlich «zum Greifen nah» ist: die Biometrie. Gesichtserkennung und Fingerabdruckscans sind mit den meisten Mobilgeräten und vielen Computern möglich. Und damit können wir einen der sichersten 2FA/MFA-Faktoren überhaupt nutzen: die sogenannte Inhärenz, also etwas, das wir sind. In diesem Fall handelt es sich um einen unverwechselbaren Fingerabdruck oder unser Gesicht.

Die Nevis Authentication Cloud nutzt eine FIDO-zertifizierte biometrische Authentifizierung, um ein passwortfreies Anmeldeverfahren zu ermöglichen. FIDO ist der Goldstandard für eine sichere, schnelle und unkomplizierte Authentifizierung im Internet und ermöglicht Unternehmen eine hardwaregestützte Authentifizierung (Fingerabdruck- oder Gesichtserkennung) in ihren Produkten. Und das wiederum erleichtert es den Benutzern, sich nur mit ihrem Fingerabdruck oder ihrem Gesicht bei Onlinediensten anzumelden. Und vor allem: ohne Passwort. 

Doch wie genau funktioniert die Nevis Authentifizierung? Zunächst erstellt man ein Benutzerkonto über das übliche Registrierungsverfahren. Das ist allen vertraut, die schon einmal irgendwo ein Benutzerkonto eröffnet haben. Man entscheidet sich für einen Benutzernamen und klickt dann auf die Anmeldeschaltfläche auf seinem Mobilgerät. Daraufhin übermittelt die Nevis Authentication Cloud eine Push-Benachrichtigung an das Mobilgerät des Benutzers (bei Handys einen Deeplink). Öffnet der Benutzer die Nachricht, kann er sich mit dem ausgewählten biometrischen Verfahren ausweisen. Anschliessend bestätigt die Nevis Access App die Identität des Nutzers. Dieser wird dann automatisch auf der Plattform bzw. bei dem Dienst angemeldet. 

Wie die ganze Passwortproblematik zeigt, geht es beim perfekten Sicherheitsverfahren nicht ausschliesslich um Sicherheit – sondern auch um Komfort. Und die Nevis Authentication Cloud bietet beides.

 

Entscheidender Faktor für mehr Sicherheit: Multi-Faktor-Authentifizierung