Wie sicher ist die Zwei-Faktor-Authentisierung?

Ist der 2. Faktor der Schlüssel zur Sicherheit? Lesen Sie hier, warum 2FA herkömmliche Anmeldeverfahren ergänzt und hilft, persönliche Daten zu schützen.

Jan 13, 2022 - 3 Min.
Picture of: Sebastian Ulbert
Sebastian Ulbert

Private Nachrichten, Fotos aber auch Notizen – das Smartphone begleitet die Menschen rund um die Uhr. Sei es im Büro, beim Einkaufen, beim Sport oder in den eigenen vier Wänden. Unzählige persönliche Daten sind dort vereint und bieten einen guten Überblick über seinen Nutzer – ein sicheres Passwort ist daher unabdingbar, um sich und sein Privatleben vor einem Datenklau zu schützen. Noch relevanter wird es, wenn es um sensible Daten im beruflichen oder wirtschaftlichen Kontext geht. Meist unterliegen sie dem Betriebsgeheimnis: Ein gutes Passwort allein genügt dann nicht mehr. In den Fokus rückt hingegen die Two-Factor Authentication, kurz 2FA: Sie kombiniert zwei Faktoren zur Authentisierung und hebt das Sicherheitslevel ohne viel Mehraufwand auf eine höhere Stufe. Im Rahmen des Europäischen Datenschutztages am 28. Januar, werfen wir einen Blick auf das Konstrukt der 2FA. Wofür steht die Bezeichnung, wann ist sie sinnvoll und wie sicher ist sie? Wir klären auf und bieten einen Überblick über das Verfahren zur Identitätsprüfung. Grundsätzlich gilt: Auf eine Zwei-Faktor Authentisierung zu setzen, ist immer sicherer als nur einem Passwort zu vertrauen.

Die meisten Anmeldeseiten vertrauen bei der Authentifizierung ihrer Nutzer auf einen einzigen Single-Faktor: das Passwort. Dabei wird der Nutzer bereits nach der korrekten Eingabe des Benutzernamens und Passwortes freigeschaltet. Eine weitere Überprüfung der Identität findet nicht statt und genau das birgt ein hohes Risiko. Schließlich warnen IT-Spezialisten bereits seit Jahren vergeblich vor dem zu laxen Umgang mit Passwörtern, das sich in durchschaubare Zahlenkombinationen wie 123456 äussert. Für Angreifer ist das ein Leichtes, sie schlicht zu erraten oder mithilfe von Brute-Force-Angriffen automatisiert zu ermitteln. Mit der Folge, dass Geräte und Systeme kompromittiert werden. Um das zu vermeiden, kann die Zwei-Faktor Authentifizierung zum Einsatz kommen. 

Mehr als nur ein Passwort: Die 2FA 

Die Two-Factor Authentication, kurz 2FA, beschreibt ein Verfahren der Identitätsprüfung, bei dem mindestens zwei Faktoren zur Authentifizierung eines Nutzers abgefragt werden. Sie geht somit über die klassische Passwortabfrage hinaus und nimmt einen weiteren Faktor in den Authentifizierungsprozess mit auf. 

Eindeutige Identitätsprüfung ist möglich

In der Praxis äußert sich das Vorgehen der 2FA wie folgt: Nach der Eingabe eines sicheren Passwortes, bestätigt das System die Richtigkeit des Kennwortes. Statt den Nutzer dann wie gewohnt zum gewünschten Inhalt zu leiten, folgt eine zusätzliche Sicherheitsschranke in Form des zweiten Faktors. Dafür greift das 2FA auf ein externes System zurück. Erst wenn der Nutzer auch den zweiten Faktor richtig angibt und somit seine Identität bestätigt, erhält er Zugang zum Online-Dienst und den angeforderten Inhalten. Dadurch verringert sich das Risiko eines Datenklaus. Zeitgleich beugt der zweite Faktor vor, dass unbefugte Dritte, die im Besitz eines fremden Passwortes sind, Zugang zum Profil des ursprünglichen Nutzers erhalten.

Die drei Säulen der Sicherheitsschranke 

Es gibt drei wesentliche Säulen für die Sicherheitsschranke, die für eine größtmögliche Sicherheit idealerweise zwei Kategorien miteinander kombiniert. 

  • Wissen: Der Nutzer verfügt über Wissen, über das nur er informiert ist. Dazu zählen PINs, die Antworten auf Sicherheitsfragen sowie die User-Kennung. Auch die Transaktionsnummer (TAN) bzw. das One-Time-Password (OTP) sind Möglichkeiten, die unter den Faktor Wissen fallen. Sie werden als Einmalkennwort bezeichnet: Während sie früher auf Papierlisten dem Nutzer zur Verfügung gestellt wurden, vertraut man heutzutage auf TAN-Generatoren bzw. Authenticator Apps. Diese generieren die zeit- oder ereignisbasierten Kennwörter stets neu. Noch sicherer sind sogenannte TAN-Generatoren, die zum Erzeugen der TAN auch die Kontonummer und den Betrag einbeziehen. 
  • Besitz: Der Nutzer ist im Besitz eines entsprechenden Gegenstandes wie bei einer Zugangskarte, einem Schlüssel oder einem Token. Die letztgenannte Option dient dazu, einen privaten kryptografischen Schlüssel zu speichern: Dafür wird bei der Authentifizierung eine Anforderung an das Token gesendet, welches nur vom Token mit dem privaten Schlüssel richtig beantwortet werden kann. Dieser Schlüssel kann als Softwarezertifikat gespeichert werden – sinnvoller ist jedoch die Speicherung in der Hardware auf einer Chipkarte oder einem speziellen USB-Stick/NFC-Token. 
  • Merkmale: Der Nutzer weist sich mit seinen einzigartigen biometrischen Merkmalen aus. Dazu zählt der Fingerabdruck, das Gesicht und die Iris. Sobald diese Faktoren einmal eingescannt und gespeichert wurden, kann der Nutzer durch eine Lebenderkennung identifiziert werden. Es ist dann beispielsweise nicht möglich, das System durch ein Foto des Nutzers auszutricksen. Der Nutzer muss physisch vor Ort sein und sich mit seinen biometrischen Merkmalen zum gewünschten Zeitpunkt ausweisen.

Personenbezogene Daten umfassend schützen

Eine hundertprozentige Sicherheit kann auch die Zwei-Wege-Authentifizierung nicht bieten und doch weist sie über keine bekannten Schwachstellen auf. Zu elementar sind die Vorteile der zusätzlichen Sicherheitsschranke: Sollte nämlich einmal ein Passwort in die Hände von Cyber-Kriminellen gelangt sein, können sich diese ohne den zweiten Schlüssel nicht in Bankkonten und Co. einloggen. Die 2FA stellt somit eine zuverlässige Barriere da, ergänzt gängige Login-Prozesse sinnvoll und trägt zum Schutz der eigenen Daten bei. Gerade bei besonders sensiblen und personenbezogenen Daten ist das ein großer Pluspunkt: Etwa bei Personaldaten oder Gesundheitsdaten, die dem Datenschutz oder einem Betriebsgeheimnis unterliegen, kann die Two-Factor Authentication Abhilfe schaffen. Doch auch hier gilt, dass das Passwort als Grundlage stets sicher und zufällig gewählt werden sollte. Nur dann ist das Risiko von Kontoübernahme und unbefugtem Datenzugriff minimiert.

 

Entscheidender Faktor für mehr Sicherheit: Multi-Faktor-Authentifizierung