Der zweite Faktor und der Kampf gegen 123456

Zwei-Faktor-Authentisierung (2FA) gibt es in vielen Varianten. Welche Methoden sind zugleich sicher und benutzerfreundlich?

Aug 3, 2021 - 3 Min.
Picture of: Alina Fill
Alina Fill

Menschen neigen zu einfachen Lösungen – auch wenn diese nicht immer die besten sind. So gehören Zahlenfolgen wie „123456“ oder das Geburtsdatum immer noch zu den beliebtesten Passwörtern für Online-Benutzerkonten. Doch auch kompliziertere Passwörter lassen sich oft in weniger als sechs Stunden knacken. Für Cyberkriminelle ein einfacher Weg, um Benutzerkonten zu übernehmen (Account-Take-Over – ATO) oder in Unternehmensnetzwerke einzudringen. Mit Tools wie Medusa, Metasploit oder Hydra werden dabei automatisiert und in atemberaubendem Tempo tausende verschiedener Passwortvarianten durchprobiert, bis die korrekten Login-Daten ermittelt sind. Da viele User gerne aus Bequemlichkeit die gleichen Passwörter für mehrere Benutzerkonten vergeben, sind den Betrügern nicht selten Tür und Tor geöffnet, um sich gleich zu mehreren Netzwerken Zugang zu verschaffen.

Passwörter allein bieten keine Sicherheit vor Hackern

Sobald es den Hackern gelungen ist, in ein Unternehmensnetzwerk einzudringen, können sie mit Programmen wie Mimikatz Windows-Passwörter erbeuten oder mit Keyloggern, die Tastatureingaben aufzeichnen, an weitere Login-Daten herankommen.

Die Folgen können für Unternehmen und User gleichermassen verheerend sein. Sie reichen von finanziellen Verlusten über den Diebstahl sensibler Daten bis hin zur nachhaltig ruinierten Firmen-Reputation.

Die Erkenntnis: Username oder E-Mail-Adresse und ein Passwort reichen nicht mehr aus, um Benutzerkonten und Daten vor gewieften Online-Kriminellen zu schützen. Es bedarf weiterer Hürden, in denen Informationen abgefragt werden, auf die Unbefugte keinen Zugriff haben.

Two-Factor Authentication: Schutz über das Passwort hinaus

Viele Anbieter im Bereich E-Commerce standen der Two-Factor Authentication zunächst skeptisch gegenüber. Sie befürchteten, dass das Verfahren den Login komplizierter machen und so potenzielle Kunden abschrecken könnte. Die Möglichkeit, unverwechselbare Faktoren wie den Fingerabdruck oder einen Gesichtsscan für 2FA zu nutzen, zerstreut jedoch Bedenken, dass unter Two-Factor Authentication die Benutzerfreundlichkeit leiden könnte. Genau das Gegenteil ist der Fall: Der autorisierte Zugriff auf die eigenen Daten und Online-Transaktionen liess sich noch nie so komfortabel gestalten wie heute.

Immer mehr Unternehmen setzen deshalb Two-Factor-Authentication (2FA) ein, um einen zusätzlichen Sicherheitslevel zu schaffen, den Online-Betrüger nicht ohne Weiteres überwinden können. Seit 2018 ist der Einsatz von 2FA-Verfahren für Geldinstitute durch die EU-Zahlungsdienste-Richtlinie im europäischen Wirtschaftsraum Pflicht. Online-Anbieter wie Amazon, Google, Facebook und Instagram sowie diverse Microsoft-Services haben die Two-Factor Authentication bereits eingeführt – wenn auch teils noch nicht verpflichtend. Wer im Internet mit der Kreditkarte bezahlen will, muss sich als befugter User heute ebenfalls mit zwei Faktoren authentisieren.

Dabei wird zusätzlich zum Benutzernamen, der E-Mail-Adresse und gegebenenfalls einem Passwort in einem weiteren Schritt ein Faktor abgefragt, den für gewöhnlich nur der Benutzer kennt:

  • Etwas, das man weiss – wie etwa ein Code, der einem per SMS auf das Smartphone geschickt wurde, oder die PIN zur EC-Karte
  • Etwas, das man besitzt – wie eine TAN-Liste, ein (Mobil-)Telefon, eine Chip-Karte oder ein RSA-Token
  • Etwas, das man ist – wie ein Fingerabdruck, die Iris des Auges oder das Gesicht
  • Wo man ist – der Ort, an dem man sich aufhält, ermittelt durch die IP-Adresse oder durch GPS

Nicht jede 2FA-Strategie wehrt Cyberangriffe gleich erfolgreich ab

Systeme mit Two-Factor Authentication nutzen unterschiedliche Technologien, um Benutzerkonten und sensible Daten besser zu schützen. Manche Verfahren lassen sich mit ausgeklügelten Methoden dennoch aushebeln. Hier eine Auswahl weithin gebräuchlicher 2FA-Verfahren:

SMS-Token

SMS-Tokens sind zufallsgenerierte, nur für einen kurzen Zeitraum gültige Codes, die Online-Dienste wie Instagram beim Login per SMS an das Smartphone des Benutzers schicken.

Tokens gewähren sehr guten Schutz gegen Phishing-Attacken und Angriffe mit Bots. Gelingt es den Cyberkriminellen jedoch, die SMS-Tokens durch Social Engineering auch auf ein anderes Smartphone umzuleiten (Swap-Attacke), kann auch das SMS-Token den unbefugten Zugriff auf ein Benutzerkonto nicht verhindern.

Kryptografisches Token

Mit dem kryptografischen Token wird ein privater Krypto-Schlüssel gespeichert, ohne den die gewünschte Transaktion nicht ausgeführt werden kann.

Hardware-Token (z. B. FIDO)

Hardware-Token der FIDO-Allianz gelten als sehr sicher und benutzerfreundlich: Hier dient ein externer Schlüssel, der auf einem Dongle oder auf dem im Gerät des Users verbauten TPM-Chip (Trusted Platform Module) hinterlegt ist, zur Authentisierung. 

TAN-Verfahren 

Früher nutzten viele Geldinstitute Papierbögen mit langen Listen von TANs (Transaktionsnummern), mit denen sich der Kunde bei der Abwicklung seiner Online-Bankgeschäfte authentisieren musste. Gelangten diese Papier-Listen in die falschen Hände, konnten sie auch keine Sicherheit mehr bieten.

Auch heute kommen noch TANs zum Einsatz – allerdings in digitaler Form von nur kurzzeitig gültigen eTANs, die beispielsweise an eine Authenticator-App auf dem Smartphone des Benutzers geschickt werden. Für den Zugriff auf die App muss sich der User nochmals eigens per Fingerabdruck-Scan oder PIN authentisieren.

Weniger gebräuchlich sind mittlerweile Hardware-TAN-Generatoren, mit denen sich TANs mit zeitlich begrenzter Gültigkeit erstellen lassen. User finden es grösstenteils unpraktisch, für ihre Transaktionen immer auf ein zusätzliches externes Gerät zurückgreifen zu müssen.

Welche 2FA-Lösung ist die beste?

Allgemein gilt: 2FA gehört heute zu den sichersten Methoden, Daten und Benutzerkonten vor unbefugtem Zugriff zu schützen. Für welche Verfahren sich ein Unternehmen entscheidet, hängt oftmals jedoch nicht nur vom Grad der Sicherheit ab, sondern auch von den Einrichtungs- und Betriebskosten sowie – last but not least – von der Benutzerfreundlichkeit.

Besonders zukunftsweisend dürften in dieser Hinsicht Verfahren sein, die biometrische Merkmale in die Authentisierung mit einbinden und/oder auf den U2F-Standard der FIDO-Allianz setzen. Auf diese Weise lässt sich ein Höchstmass an Sicherheit mit hohem Bedienkomfort für die Nutzer verbinden.