Zwei-Faktor-Authentisierung

Die Zwei-Faktor-Authentisierung (2FA), häufig auch als Zwei-Faktor-Authentifizierung bezeichnet, bezeichnet den Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Typische Beispiele sind Bankkarte plus PIN beim Geldautomaten, Fingerabdruck plus Zugangscode in Gebäuden, oder Passphrase und Tranaktionsnummer (TAN) beim Onlinebanking. Die Zwei-Faktor-Authentisierung ist ein Spezialfall der Multi-Faktor-Authentisierung.

Für sicherheitskritische Anwendungsbereiche wird die Zwei-Faktor-Authentisierung empfohlen, so beispielsweise vom deutschen Bundesamt für Sicherheit in der Informationstechnik in seinen IT-Grundschutz-Katalogen.^[1]

In Bankwesen wurde mit der EU-Zahlungsdiensterichtlinie die Zwei-Faktor-Authentisierung für den Europäischen Wirtschaftsraum 2018 verpflichtend eingeführt.^[2] Auch einige Webplattformen, wie Amazon^[3] oder Google (Authenticator),^[4] haben dieses System eingeführt.

Die Zwei-Faktor-Authentisierung ist nur dann erfolgreich, wenn beide festgelegten Faktoren zusammen eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, lässt sich die Zugriffsberechtigung nicht zweifelsfrei feststellen und der Zugriff wird verweigert.

Die Faktoren können sein:^[5]

• geheimnishütender Gegenstand (Besitz), wie zum Beispiel ein Sicherheits-Token, eine Bankkarte, ein Kurzzeitkennwortgenerator oder ein physischer Schlüssel,
• geheimes Wissen, wie zum Beispiel eine Passphrase, ein Einmalkennwort, eine PIN oder eine Transaktionsnummer (TAN),
• biometrische Charakteristika (Inhärenz), wie zum Beispiel ein Fingerabdruck, das Muster einer Regenbogenhaut (Iris-Erkennung), die menschliche Stimme oder das Gangmuster.

Die beiden Faktoren müssen nicht unbedingt verschiedener Gattungen sein (zum Beispiel Passwort plus TAN beim Onlinebanking), müssen aber immer durch zwei getrennte Übertragungskanäle übermittelt werden.^[6] Der Forderung, dass sie nicht am gleichen Ort gespeichert bzw. aufbewahrt werden, wird heute oft nicht mehr nachgekommen, so nutzen zahlreiche Banken heute das TAN-Verfahren und die Login-Oberfläche als kombinierte E-Banking-App auf demselben Endgerät, sodass mit dessen Verlust oder bei einer Sicherheitslücke beide Übertragungskanäle in eine Hand kommen.

Wird für die Authentisierung unter anderem ein beschützter Gegenstand gefordert, ergibt sich der Nachteil, dass dieser jederzeit mitgeführt werden muss, sofern der Nutzer sich jederzeit anmelden können möchte. Wird der Gegenstand gestohlen, verloren oder hat der Nutzer ihn schlicht nicht dabei, sind Zugriffe unmöglich. Außerdem entstehen Kosten: zum einen bei der Erstanschaffung, zum anderen bei Ersatzbeschaffungen.

Um diesen Risiken aus dem Weg zu gehen, ist die mittelbare Zwei-Faktor-Authentisierung als Alternative entwickelt worden. Sie nutzt Mobilgeräte wie Mobiltelefone und Smartphones als Token, also „etwas, was der Nutzer besitzt“ (aber auch verlieren kann). Möchte sich der Anwender authentisieren, muss er meist eine Passphrase und einen einmalig gültigen, dynamisch erzeugten Passcode eingeben. Diesen Code erhält er per SMS, E-Mail oder über eine entsprechende App auf sein Mobilgerät gesendet. Der Vorteil bei dieser Methode: Kein zusätzlicher Token muss angeschafft und beschützt werden, da das Mobilgerät bei vielen Menschen heutzutage ohnehin schon ständiger Begleiter ist. Einige professionelle Lösungen sorgen dafür, dass stets ein gültiger Passcode bereitsteht. Hat der Nutzer eine Ziffernfolge verwendet, wird diese automatisch gelöscht, und das System sendet einen neuen Code an das Mobilgerät. Wird der neue Code nicht innerhalb einer festgelegten Frist eingegeben, ersetzt ihn das System automatisch. Auf diese Weise verbleiben keine alten, schon verwendeten Codes auf der mobilen Komponente. Für noch gesteigerte Sicherheit lässt sich festlegen, wie viele Falscheingaben toleriert werden, bevor das System den Zugang sperrt.

Wenn der sich authentisierende Benutzer keine manuelle Dateneingabe mehr zu erledigen braucht, gilt der Prozess als halbautomatisiert. Das ist mit der NFC-Methode erreicht. Verwendet wird dazu ein zuvor personalisiertes Mobilgerät.

Erst dann, wenn der sich authentisierende Benutzer keinerlei Handhabung mehr zu erledigen braucht, gilt der Prozess als vollautomatisiert. Das ist mit dem Verwenden von Piconetzen (Bluetooth) als internationaler Industrie-Standard erreicht. Verwendet wird dazu ein zuvor personalisiertes Mobilgerät.^[7]

Die FIDO-Allianz hat am 9. Dezember 2014 die erste Version des universellen und lizenzfreien Standards U2F für die Zwei-Faktor-Authentisierung veröffentlicht, die mit verschiedenen Verfahren und Geräten kompatibel ist.^[8] Im Februar 2015 kündigte Microsoft an, dass der Standard 2.0 der FIDO-Allianz für die Authentifikation im Internet vom Betriebssystem Windows 10 unterstützt wird.^[9]

1. ↑ M 4.133 Geeignete Auswahl von Authentikationsmechanismen, BSI, Stand: 13. EL Stand 2013, abgerufen am 20. Februar 2015.
2. ↑ Zwei-Faktor-Authentifizierung bei Online-Banking kommt. futurezone.at, 2. August 2017 (abgerufen 8. Juli 2019).
3. ↑ Mehr Sicherheit: Amazon führt Zweifaktor-Authentifizierung ein. In: Der Standard online, 5. Dezember 2016.
4. ↑ Zweiter Faktor: Nur wenige User sichern ihren Google-Account zusätzlich ab. In: Der Standard online, 22. Januar 2018.
5. ↑ Zwei-Faktor-Authentifikation: So funktioniert sie, test.de, 28. Januar 2015, abgerufen am 20. Februar 2015
6. ↑ Mehrfaktor-Authentifizierung. A-SIT Zentrum für sichere Informationstechnologie, auf onlinesicherheit.gv.at; abgerufen 8. Juli 2018.
7. ↑ Michel Smidt: Kurz erklärt: Sichere Logins mit Zwei-Faktor-Authentifizierung. In: Univention Blog. univention, 27. April 2017, abgerufen am 14. August 2018. 
8. ↑ FIDO 1.0 Specifications are Published and Final Preparing for Broad Industry Adoption of Strong Authentication in 2015, FIDO-Allianz, abgerufen am 12. Dezember 2014
9. ↑ Dustin Ingalls: Microsoft Announces FIDO Support Coming to Windows 10 (Memento des Originals vom 15. Februar 2015 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/blogs.windows.com, windows.com, abgerufen am 15. Februar 2015