Tipps & Tutorials

2-Faktor-Authentifizierung: Das sollten Sie wissen


Veröffentlicht am 07.09.2020 von DomainFactory

Zwischen einem Account und einem Angreifer bzw. Hacker stehen oft nur ein Passwort und ggf. ein Benutzername. Die Risiken einer solchen 1-Faktor-Authentifizierung liegen vor allem in einer häufig schlechten Auswahl von und einem laxen Umgang mit Passwörtern sowie in Brute-Force- oder Social-Engineering-Angriffen. Ist das Passwort erst einmal geknackt, steht Hackern nichts mehr im Weg. Und der Zugriff auf sensible Daten macht den Weg frei zu Identitätsdiebstahl, Finanzbetrug, Malware-Infektionen oder das Ausspähen von Interna und Betriebsgeheimnissen.

Aber auch sichere Passwörter sind kein 100%iger Schutz, wenn z. B. ganze Passwort-Datenbanken von Online-Händlern oder Dienstleistern erfolgreich gehackt werden. Um das Risiko von Account-Takeover-Attacken zu verringern und Hackern das Handwerk deutlich zu erschweren, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) für alle sicherheitskritischen Anwendungen eine Zwei-Faktor-Authentifizierung (2FA). Das Verfahren ist vor allem aus dem Online-Banking bekannt, wo es nach der neuen EU-Zahlungsdiensterichtlinie PSD2 die Sicherheit im Zahlungsverkehr erhöhen soll. Welche weiteren Möglichkeiten es für die 2FA gibt und was Sie dabei beachten sollten, erfahren Sie in diesem Artikel.

Was ist 2-Faktor-Authentifizierung?

Die 2-Faktor-Authentifizierung (oder aus Sicht der Nutzer 2-Faktor-Authentisierung) errichtet für Angreifer eine zusätzliche Hürde in Form eines zweiten, vom ersten unabhängigen Merkmals für die Identitätsprüfung. Dieses Identitätsmerkmal sollte dabei aus einer anderen Kategorie stammen als das erste Merkmal. Unterschieden werden insgesamt drei Kategorien bzw. Authentifizierungsfaktoren:

  • Hardware bzw. Gegenstände wie z. B. eine Bankkarte, Smartcard oder ein Sicherheitstoken (Besitz)
  • Individuelles Wissen wie z. B. eine PIN, ein Passwort oder die Antwort auf eine persönliche Frage
  • Biometrische Erkennungsmerkmale wie z. B. Fingerabdruck, Iris oder Stimme („Inhärenz“)

Die Wahl eines zusätzlichen Merkmals, das kein individuelles Wissen darstellt, macht es insbesondere bei Angriffen über das Internet sehr unwahrscheinlich, dass der Angreifer auch in den Besitz dieses Merkmals, also des physischen Gegenstands oder der biometrischen Daten, gelangt.

Die beiden häufig verwendeten Merkmale „Benutzername“ und „Passwort“ entstammen dagegen beide der Kategorie individuelles Wissen. Es handelt sich daher um eine 1-Faktor-Authentifizierung. Der Sicherheitsgewinn durch den zusätzlich abgefragten Benutzernamen ist meist gering, zumal dieser häufig öffentlich zugänglich ist (z. B. eine E-Mail-Adresse).

2FA per Smartphone-App

Smartphones bieten vielfältige Möglichkeiten für 2-Faktor-Authentifizierung. So gibt es zahlreiche Apps für die Erstellung von zeitlich limitierten Einmalkennwörtern wie z. B. Google AuthenticatorMicrosoft Authenticator2FA Authenticator oder Authy. Zur Generierung der Passwörter nutzen die Apps in der Regel den TOTP-Algorithmus (time-based one-time password), der von der Initiative For Open Authentification (OATH) entwickelt wurde. Auf Grundlage eines geheimen Schlüssels und der aktuellen Uhrzeit wird dabei ein Kennwort berechnet, das für 30 Sekunden gültig ist. Da das Passwort an das Smartphone gebunden ist, kann es bei der Authentisierung als zweiter Faktor dienen.

So gehen Sie vor, um einen Account per 2FA per App abzusichern:

  • Installieren Sie die Authenticator-App auf Ihrem Smartphone;
  • Aktivieren Sie in den Sicherheitseinstellungen des Dienstes, mit dem Sie die App verwenden möchten, die 2-Faktor Authentifizierung;
  • der Dienst zeigt Ihnen dann einen QR-Code, Scannen Sie den Code mit der App – diese fängt nun an, alle 30 Sekunden einen neuen Einmalcode zu generieren, der Ihnen in der Kombination mit Ihrem Passwort den Zugang zu ihrem Account ermöglicht.

Sicherheitstoken 

Hardware-Sicherheits-Token – meist Smartcards oder spezielle USB-Sticks mit einprogrammiertem Sicherheitsschlüssel – bieten im Unternehmensumfeld viele Möglichkeiten, z. B. für die Anmeldung an einem PC oder in einem Netzwerk, für die Zeiterfassung von Mitarbeitern oder die Absicherung des Zutritts zu geschützten Bereichen. Aber auch im privaten Bereich, beispielsweise beim Online-Banking, für das Login von Social-Media-Accounts oder Online-Händler-Accounts sind Hardware-Token dank ihrer einfachen Bedienbarkeit gut geeignet. 

Sicherheitstoken gibt es von verschiedenen Herstellern und für unterschiedliche Schnittstellen wie USB A, B und C, Bluetooth, Lightning oder NFC. Empfehlenswert sind Token, die auf dem FIDO-U2F-Standard basieren, einem von Google und der Sicherheitsfirma Yubico entwickelten Sicherheitsprotokoll. U2F-Token sind aufgrund ihrer hohen Kompatibilität vielseitig einsetzbar; auch viele Internet-Sites, darunter u. a. Twitter, Facebook, Google, Instagram, GitHub und Dropbox, unterstützen U2F-Schlüssel. 

Um einen Security-Token nutzen zu können, muss zunächst ein einmaliges Setup durchgeführt werden, bei dem ein öffentlicher und ein privater kryptografischer Schlüssel generiert werden. Die Identifizierung bei einem Dienst, der die 2FA-Autentifizierung per Token unterstützt, ist dann ganz einfach: 

  • Verbinden Sie den Sicherheits-Token mit Ihrem Rechner, Smartphone oder Tablet (z. B. per USB oder Bluetooth);
  • Geben Sie Nutzernamen und Passwort ein;
  • Identifizieren Sie sich durch einen einfachen Druck auf eine Taste des Tokens.

Biometrische Faktoren

Bei der biometrischen Authentifizierung werden zuvor erfasste körperlichen Merkmale wie Gesicht, Fingerabdruck oder Iris zur Identifizierung genutzt. Bekannt sind diese Verfahren z. B. zur Absicherung von Smartphones und Tablets. Fingerabdrücke und Gesichter können hier per Fingerabdruck-Sensor oder Kamera-Scan identifiziert werden, um die Geräte zu entsperren. 

Allerdings sind die biometrischen Verfahren keineswegs so sicher, wie es vielleicht scheinen mag. So stellte sich Ende 2019 heraus, dass sich Samsung-Handys bei Verwendung bestimmter Display-Schutzfolien selbst entsperrten, weil sie die Schutzfolien als Fingerabdruck werteten. Und hinsichtlich der Sicherheit von Smartphone-Gesichtserkennung ergab ein Test der Stiftung Warentest, dass sich 37 von 94 getesteten Smartphones durch ein Foto entsperren ließen. 

Welche Risiken gibt es?

Wird ein Passwort oder ein Zugangscode per SMS verschickt, kann die Nachricht durch Man-in-the-Middle (MitM)-Attacken oder Trojaner abgefangen werden – besonders anfällig ist hier das inzwischen veraltete Signalisierungssystem Nr. 7 (SS7). Bei aktivierten Sperrbildschirmbenachrichtigungen können zudem auch Fremde eine SMS mit einem Passwort lesen. 2FA-Authentifizierungen, die SMS zur Übermittlung von Einmalpasswörtern nutzen, sollten aufgrund dieser Sicherheitsrisiken möglichst nicht genutzt werden.

Ein weiteres Risiko besteht in Social-Engineering-Kampagnen. Haben sich Angreifer z. B. per Phishing Zugang zu den Daten für einen Login verschafft, kann auch der zweite Faktor über die Phishing-Seite oder durch klassische Betrugsmethoden ausspioniert oder durch Diebstahl der Hardware-Security-Komponente geknackt werden. Allerdings sind solche Social-Engineering-Angriffe sehr aufwendig und daher unattraktiv für Angreifer, die eine größere Anzahl von Accounts im Visier haben. Attraktiv sind Social-Engineering-Kampagnen daher vor allem für gezielte Angriffe – nicht nur auf hochrangige Personen oder den Zugang zu Geheiminformationen, sondern immer häufiger auch auf lohnenswerte Ziele wie zum Beispiel populäre Verkäufer-Konten bei Amazon. In diesen Fällen sind gezielte Sicherheitstrainings für die betroffenen Personen und regelmäßige Updates unbedingt anzuraten.

Auch der Verlust eines Tokens oder einer Smartcard kann ein Risiko darstellen, allerdings nur, wenn ein unehrlicher Finder den eigentlichen Besitzer kennt und sich die weiteren für die Authentifizierung nötigen Informationen beschaffen kann. Das Hauptproblem eines Verlusts oder eines Defekts ist allerdings, dass ein Zugriff auf die mit diesem Faktor zusätzlich abgesicherten Accounts erst einmal nicht möglich ist – zumindest solange, bis ein Ersatz-Token verfügbar ist. Anders als beim Hausschlüssel ist es auch nicht möglich, den Folgen eines Verlusts durch eine vorherige Kopie des Sicherheitstokens vorzubeugen, weil Security-Token nicht kopierbar sind. Daher ist es sehr zu empfehlen, als Backup immer einen zweiten 2FA-Zugang mit einem weiteren Token anzulegen. So haben Sie z. B. immer noch Zugriff auf einen verschlüsselten Rechner oder Ihren Google-Account.

Fazit

Auch wenn es keinen zweiten Faktor gibt, der allein hundertprozentige Sicherheit garantiert, ist jeder zweite Faktor doch eine zusätzliche Sicherheitsebene, die es Hackern und Datendieben sehr viel schwerer macht, sich Zugang zu einem gesicherten Bereich zu verschaffen. Für jeden Dienst, bei dem Sie persönliche Daten hinterlassen und für jeden sicherheitskritischen Bereich ist eine Zwei-Faktor-Authentifizierung daher empfehlenswert.

Eine Liste von Diensten, Dienstleistern und Online-Händlern, die eine 2-Faktor-Authentisierung anbieten, finden Sie bei twofactorauth.org. Einen ersten Überblick, welche häufig genutzten Dienste 2FA anbieten, bietet auch die Stiftung Warentest.

 

Der Autor:


Als Qualitätsanbieter überzeugen wir mit HighEnd-Technologie und umfassenden Serviceleistungen. Mit mehr als 1,3 Millionen verwalteten Domainnamen gehören wir zu den größten Webhosting-Unternehmen im deutschsprachigen Raum.