2FA

Veröffentlicht am 10. August 2023
Aktualisiert am 17. August 2023
von Michael Dobler
IT Sicherheit

ARD, ZDF, C&A BRD, DDR und USA BSE, HIV, DRK und 2FA – ihr könnt mich mal! Die Fantastischen Vier hätten 2FA sicherlich in ihren Liedtext eingebaut, so wichtig ist dieses Sicherheitsverfahren. Hier erfährt ihr warum.

Was ist 2FA?

Ob hier 2FA noch hilft? (Quelle Bild: Danke an Freepik.)

2FA steht für “Zwei-Faktor-Authentifizierung” (englisch: “Two-Factor Authentication”). TFA ist ein Sicherheitsverfahren, das eine zusätzliche Sicherheitsebene zu dem herkömmlichen Benutzernamen und Passwort bietet.

Bei der Zwei-Faktor-Authentifizierung muss ein Benutzer zwei verschiedene Identifikationskomponenten vorlegen, um sich zu authentifizieren. Als da wären:

1. Etwas, das der Benutzer weiß: Dies ist in der Regel ein Passwort oder ein PIN-Code (bitte nicht 1234).

2. Etwas, das der Benutzer hat: Dies kann ein physischer Token, eine Smartcard (Kunststoffkarte mit integriertem Schaltkreis) oder ein Smartphone mit einer speziellen Authentifizierungs-App (z.B. Google Authenticator) sein. Häufig werden auch Einmalpasswörter (oft per SMS oder E-Mail gesendet) oder Push-Benachrichtigungen über spezielle Authentifizierungs-Apps verwendet.

Einige Systeme können auch eine dritte Komponente einführen, beispielsweise “etwas, das der Benutzer ist”, wobei biometrische Daten wie Fingerabdrücke, Gesichtserkennung oder Stimmerkennung verwendet werden, mit denen Smartphonebesitzer sich authentifizieren können.

Der Hauptvorteil von 2FA besteht darin, dass selbst wenn ein Angreifer das Passwort eines Benutzers kennt, er ohne den zweiten Faktor immer noch keinen Zugriff auf das Konto erhält. Es bietet eine zusätzliche Sicherheitsschicht gegen Phishing, Man-in-the-Middle-Angriffe und andere Formen von Cyberkriminalität.

Welche Arten von Authentizifierungsfaktoren werden bei 2FA verwendet?

Es gibt mehrere Arten von Authentifizierungsfaktoren, die in der Zwei-Faktor-Authentifizierung (2FA) verwendet werden können. Diese Faktoren lassen sich typischerweise in drei Hauptkategorien unterteilen:

Etwas, das der Benutzer weiß (Wissensfaktoren)

Passwort oder PIN

Dies ist die älteste Form der Authentifizierung. Der Benutzer gibt ein geheimes Passwort oder eine PIN ein, um sich zu authentifizieren. Wer hat an der Kasse am Supermarkt schon einmal sein PIN vergessen? Und wo habt ihr sie notiert…?

Antworten auf Sicherheitsfragen

Fragen wie “Wie hieß dein erstes Pokemon?”, oder “Welche Band spielte bei deinem ersten Rockkonzert?”.

Etwas, das der Benutzer hat (Besitzfaktoren)

SMS-Codes

Nach dem Einloggen mit einem Benutzernamen und Passwort erhält der Benutzer eine SMS mit einem einmaligen Code, den er eingeben muss.

Authentifizierungs-Apps

Apps wie Google Authenticator oder Authy, die zeitbasierte Einmalpasswörter (TOTP = Time-based One-time Password Algorithmus) generieren.

Physische Token

Hardware-Geräte, die Einmalcodes generieren, die der Benutzer eingeben kann. Ein bekanntes Beispiel ist der SecurID-Token die Firma RSA.

Smartcards

Physische Karten mit einem eingebetteten Chip, die, wenn sie in einen Computer eingesteckt werden, eine Authentifizierung ermöglichen.

USB-Sicherheitsschlüssel

Geräte wie YubiKey, die in einen USB-Port eingesteckt werden und eine sichere Anmeldung ermöglichen.

Etwas, das der Benutzer ist (Inhärenzfaktoren, oft biometrisch)

Fingerabdruck-Scanner

Erkennt den individuellen Fingerabdruck eines Benutzers. Egal wie viele Menschen es gibt, kein Fingerabdruck gleicht dem anderen.

Gesichtserkennung

Nutzt Kameras und Software, um das Gesicht des Benutzers zur Authentifizierung zu erkennen. Beispiele sind Apples Face ID und Windows Hello.

Stimmerkennung

Nutzt die einzigartigen Merkmale der Stimme eines Benutzers zur Identifizierung. Nicht zu knacken.

Iris- oder Retina-Scan

Nutzt die einzigartigen Muster in den Augen eines Benutzers zur Identifizierung. Sicher. Die Retina ist mit 127.000.000 Lichtrezeptoren besetzt.

Bei der Implementierung von 2FA ist es wichtig, zwei unterschiedliche Faktoren aus diesen Kategorien zu kombinieren (z. B. ein Passwort und einen SMS-Code), um die Sicherheit zu maximieren. Die Verwendung von zwei Elementen aus derselben Kategorie (z. B. zwei verschiedene Passwörter) würde nicht denselben Sicherheitsvorteil bieten wie die Kombination von Faktoren aus unterschiedlichen Kategorien.

Was ist passwortloses 2FA?

Passwortloses 2FA ist ein Ansatz zur Authentifizierung, bei dem ein Benutzer auf ein System oder eine Anwendung zugreifen kann, ohne ein traditionelles Passwort eingeben zu müssen, aber dennoch mindestens zwei Authentifizierungsfaktoren verwendet. Statt sich auf ein Passwort zu verlassen, verwendet passwortloses 2FA andere Faktoren zur Identifikation des Benutzers, wie beispielsweise:

1. Besitzfaktoren: Das könnte ein Smartphone oder ein physischer Token sein. Ein Beispiel: Ein Benutzer versucht, sich bei einer Anwendung anzumelden, und erhält eine Benachrichtigung auf seinem Smartphone, die er bestätigt, um den Zugriff zu gewähren. PayPal macht das z.B. so. Man muss in die App rein und so seine Identität bestätigen.

2. Inhärenzfaktoren: Dies könnten biometrische Daten wie Fingerabdrücke, Gesichtserkennung oder Stimmerkennung sein.

Ein Anwendungsbeispiel für passwortloses 2FA wäre:

Ein Benutzer öffnet eine App oder Website.
Die Anwendung fordert den Benutzer zur Authentifizierung auf und sendet eine Push-Benachrichtigung an das registrierte Smartphone des Benutzers.
Der Benutzer bestätigt die Benachrichtigung und wird anschließend aufgefordert, seine Identität mithilfe eines biometrischen Faktors (z. B. Fingerabdruck oder Gesichtserkennung) auf dem Smartphone zu bestätigen.
Nach erfolgreicher Bestätigung beider Schritte wird der Benutzer in der Anwendung authentifiziert und kann diese nutzen.

Der Vorteil von passwortlosem 2FA ist, dass es die Sicherheitsrisiken herkömmlicher Passwörter, wie Phishing, Brute-Force-Angriffe oder Wörterbuchangriffe, eliminiert. Außerdem bietet es in der Regel eine benutzerfreundlichere Erfahrung, da Benutzer sich keine komplexen Passwörter merken oder regelmäßig ändern müssen. Nach dem erstmaligen Eingeben des Pass Codes reicht bei einem iPhone das werte Gesicht aus um den Bildschirm zu entsperren.

Welche Methoden zur Passwortverwaltung gibt es?

Es gibt verschiedene Methoden zur Passwortverwaltung, um Benutzern zu helfen, ihre Anmeldedaten sicher und organisiert zu halten. Hier sind einige gängige Ansätze:

1. Passwort-Manager-Software

Diese Tools speichern und verschlüsseln Passwörter in einem digitalen “Tresor”. Die meisten dieser Tools können auch starke Passwörter generieren, die Speicherung von anderen sensiblen Informationen (wie Kreditkartendaten) ermöglichen und automatisch Formulare in Webbrowsern ausfüllen. Meiner Meinung nach sollte jeder einen Passwort Manager verwenden, denn hunderte verschiedene (und sichere) Passwörter kann sich keiner merken und nur ein Passwort für alles ist auch alles andere, nur nicht sicher.

Passwortmanager Softwarehersteller sind u.a.: NordPass, LastPass, 1Password, Dashlane und KeePass.

2. Offline-Notizen

Manche Menschen bevorzugen es, ihre Passwörter handschriftlich aufzuschreiben und an einem “sicheren Ort” zu verwahren, wie z.B. unter der Schreibtischmatte, oder in einem Ordner mit möglichst unverfänglicher Beschriftung wie “Keine Passwörter”. Diese Methode birgt natürlich das Risiko physischen Diebstahls oder Verlusts, z.B. beim Frühjahrsputz durch den Partner.

3. Verschlüsselte digitale Notizen

Einige Benutzer speichern Passwörter in verschlüsselten digitalen Dokumenten oder Notizen. Software wie VeraCrypt oder BitLocker kann dazu verwendet werden, solche Dokumente zu verschlüsseln.

4. Eingebaute Browser-Passwort-Manager

Viele Webbrowser haben integrierte Passwort-Manager, die Anmeldedaten speichern und automatisch in Formulare einfügen können. Diese sind oft weniger sicher als spezialisierte Passwort-Manager-Software, besonders wenn sie ohne Master-Passwort oder weitere Sicherheitsmaßnahmen verwendet werden.

5. Regelmäßige Muster

Manche Menschen verwenden eine Methode, bei der sie ein Basispasswort haben und dieses je nach Dienst leicht variieren. Diese Methode ist jedoch riskant, da ein aufgedecktes Passwort oft Hinweise auf andere Passwörter gibt.

6. Single Sign-On (SSO)

Einige Organisationen verwenden SSO-Systeme, mit denen sich Benutzer bei mehreren Anwendungen und Diensten mit nur einer Anmeldesatz von Anmeldeinformationen anmelden können. Obwohl SSO die Anzahl der zu merkenden Passwörter verringert, erhöht es auch das Risiko, da der Zugriff auf das SSO den Zugriff auf alle verbundenen Dienste ermöglicht.

7. Multi-Faktor-Authentifizierung

Obwohl dies streng genommen keine Passwortverwaltungsmethode ist, erhöht die Verwendung von MFA zusätzlich zu einem Passwort (oder als Ersatz dafür) erheblich die Sicherheit von Online-Konten. Hierbei müssen Benutzer einen zusätzlichen Authentifizierungsfaktor wie einen Code, der per SMS gesendet wird, oder einen biometrischen Faktor bereitstellen.

Für maximale Sicherheit wird empfohlen, einen dedizierten Passwort-Manager zusammen mit Multi-Faktor-Authentifizierung zu verwenden. Es ist auch wichtig, regelmäßig Passwörter zu ändern und sicherzustellen, dass für jeden Dienst ein einzigartiges Passwort verwendet wird.

Fazit

Im Digitalzeitalter vermehren sich Passwörter wie die Stechmücken am Sommerteich. Handschriftliche Passwortlisten sind eher ein Problem und keine Lösung. 2FA minimiert wesentlich die Gefahr von Datenverlusten. Steht dieser Herr mit dem Hoodie bei ihnen im Zimmer und überredet Sie freundlich zur Authentifizierung, ist das hoffentlich nur ein schlechter Traum.

Begriffserklärung 2FA — 2FA nutzen, auch wenn es manchmal nervt.

Quellen

Stiftung Warentest: Online-Konten schützen mit 2FA

Bundesamt für Sicherheit in der Informationstechnik: Zwei-Faktor-Authentisierung

Michael Dobler

Ich bin der Herausgeber von Dr. Web. Um praxisfit zu bleiben, unterstütze ich darüber hinaus Kunden bei der digitalen Kundengewinnung und Kundenbindung. Erste eigene Gehversuche im Internet unternahm ich 1999 mit einem Kinomagazin. Nach 15 Jahren in Lohn und Brot, u.a. als Projektmanager für digitale Medien, machte ich mich schließlich Ende 2005 selbständig. Das war die beste berufliche Entscheidung meines Lebens.

Lust auf mehr?

SERPs

Was steckt hinter der Abkürzung SERP im Zusammenhang mit Suchmaschinenoptimierung?Die Abkürzung “SERP” steht im Zusammenhang mit Suchmaschinenoptimierung für “Search Engine Results Page”, was auf Deutsch “Seite mit Suchmaschinenergebnissen” bedeutet. Es handelt sich dabei um die Seite, die angezeigt wird, wenn man in einer Suchmaschine wie Google einen Suchbegriff eingibt. Die SERP zeigt die Liste der Webseiten, die die Suchmaschine als relevant für den eingegebenen Suchbegriff erachtet. Das Ziel der Suchmaschinenoptimierung (SEO) ist es oft, eine Webseite möglichst weit oben in den SERPs zu positionieren, um mehr Sichtbarkeit und Klicks zu erzielen.

Interne Links

Was sind interne Links?Interne Links sind Hyperlinks, die von einer Seite zu einer anderen Seite innerhalb derselben Website führen. Sie helfen dabei, die Struktur einer Website zu definieren und es den Nutzern zu ermöglichen, sich innerhalb der Website zu bewegen. Interne Links sind auch wichtig für die Suchmaschinenoptimierung (SEO), da sie den Suchmaschinen helfen, den Inhalt der Website zu erkennen und zu indizieren. Sie fördern auch die Verteilung von “Link Juice” (oder “PageRank”) innerhalb der Website, was die SEO-Leistung einzelner Seiten verbessern kann.

Backlink

Ein Backlink ist ein eingehender Link zu Ihrer Webseite von einer anderen Seite. Er dient als Verweis und zeigt, dass andere Webseiten Ihren Inhalt schätzen. Viele Backlinks von qualitativ hochwertigen Seiten signalisieren Suchmaschinen, dass Ihre Seite vertrauenswürdig ist. Dies beeinflusst Ihre Position in den Suchergebnissen positiv. Achten Sie darauf, qualitativ hochwertige Backlinks zu erhalten, da minderwertige Links Ihrem Ranking schaden könnten.

2FA