zur Übersicht

Multi-Faktor-Authentifizierung

Lesedauer ca. 5 Minuten
21.11.2023

Multi-Faktor-Authentifizierung (kurz: MFA) bezeichnet mehrstufige Verfahren für die elektronische Anmeldung bzw. Authentifizierung, bei denen Nutzende zwei oder mehr „Faktoren“ (also Merkmale) zur Verfügung stellen müssen. Der Begriff bezieht sich auf die Anmeldung für Websites, Software-Anwendungen oder IT-Netzwerke.

Warum MFA einsetzen?

Viele Jahre lang war es üblich, dass Nutzende sich bei Websites oder Services mit nur einem Faktor authentifizieren konnten. So etwa mit dem Passwort für den Zugriff auf das persönliche E-Mail-Postfach, der PIN für den Zugriff auf das Onlinebanking oder auch der TAN für eine Online-Überweisung. Dies gilt inzwischen aber als zu unsicher. Es muss schließlich immer davon ausgegangen werden, dass Nutzende unsichere Passwörter oder schlicht Passwörter für verschiedene Dienste mehrfach verwenden. Somit besteht eine erhöhte Anfälligkeit für Wörterbuchangriffe und Brute-Force-Angriffe, Passwort-Datenbanken können gehackt oder Debitkarten gestohlen werden. Siehe dazu auch unseren Blogbeitrag zum Thema „Passwortsicherheit“.

Immer mehr Dienstleister gehen deshalb zu MFA über und erfragen von den Nutzenden zusätzliche Informationen. Diese können folglich vom „authentischen User“ problemlos bereitgestellt werden, für Cyberkriminelle sind diese jedoch nur sehr schwer zu beschaffen. Meist werden zwei Faktoren verwendet (2FA = 2-Faktor-Authentifizierung). Mittlerweile ist aber auch der Einsatz von drei Faktoren durchaus üblich (z. B. Passwort, Geräte-ID und Fingerabdruck).

Dennoch ist MFA nur so sicher wie das Übertragungsmedium. Der dritte Faktor ist auch nur dann sinnvoll, wenn er wirklich vom zweiten Faktor separiert wird. Deshalb ist es z. B. nicht empfehlenswert, die Banking-App und die Push-TAN-App auf demselben Smartphone zu nutzen.

MFA dient dem Schutz persönlicher Daten vor unbefugtem Zugriff durch Dritte. Daraus ergeben sich die häufigsten Einsatzbereiche von MFA: Banking, Social-Media-Kanäle, Behörden, Versicherungen und firmeninterne Zugänge für Mitarbeitende. In vielen Branchen und Behörden ist MFA empfohlen oder sogar vorgeschrieben.

Welche Typen von Faktoren gibt es?

Die Merkmale (Faktoren), die für eine Authentifizierung angegeben werden müssen, können in die folgenden, derzeit verbreiteten Bereiche klassifiziert werden:

  • Wissen beschreibt „etwas, das der User weiß“, also eine nur ihm bekannte Information. Dazu zählen z. B. ein Passwort, eine PIN/PUK oder eine Antwort auf eine Sicherheitsfrage. Wissensfaktoren sind am einfachsten zu hacken.
  • Besitz bezieht sich auf „etwas, das der User hat“, also einen physischen Gegenstand, den nur dieser besitzt. Darunter fällt z. B. eine Debitkarte, eine ID-Karte, ein Smartphone, ein USB-Stick oder ein Dongle. Hierzu zählen auch Einmalkennwörter (OTP), die an ein Mobiltelefon gesendet werden, oder durch Smartphone-Apps erzeugte OTPs. Besitzfaktoren sind schwieriger zu hacken, können aber gestohlen werden oder auch verloren bzw. kaputt gehen.
  • Inhärenz beschreibt „etwas, das der User ist“. Dazu zählen z. B. biometrische Merkmale wie Fingerabdruck, Stimmenscan, Gesichtsscan, Iris-Erkennung sowie auch verhaltens¬biometrische Daten wie Tastenanschlagdynamik. Ihr Vorteil liegt darin, dass sie nicht vergessen werden oder verloren gehen können und nur schwer zu replizieren sind. Andererseits können sie nicht geändert werden, wenn die zugrunde liegende Datenbank kompromittiert ist.
  • Der Ort, an dem sich der User befindet, kann auch einen Faktortypen darstellen, bspw. die Prüfung des IP-Adressbereiches, aus dem sich der User üblicherweise anmeldet.

Der Authentifizierungsprozess kann beispielhaft so aussehen:

  • Ein User gibt einen Login-Name und ein Passwort ein, um auf ein Konto zuzugreifen.
  • Es wird ein zweiter Faktor verlangt, z. B. ein Fingerabdruck, eine PIN oder ein Einmalkennwort (OTP).
  • Der User gibt den angeforderten Faktor an, der auf den Informationen beruht, die dieser zuvor beim Einrichten des Kontos angegeben hat.

Wie werden die Faktoren erzeugt?

Es gibt inzwischen eine große Bandbreite an technischen Verfahren, um den zweiten Faktor bei den Nutzenden zu erzeugen oder diesen an die Nutzenden zu übertragen. Einige Beispiele hierfür sind:

  • Smartphone-Apps (z. B. Google Authenticator, Microsoft Authenticator, TAN-Generator-Apps)
  • TAN-Generatoren als Hardware (Hierbei wird eine z. B. eine Debitkarte eingesteckt, ein Barcode oder QR-Code wird gelesen und die TAN wird erzeugt)
  • SMS für mobileTAN-Verfahren
    • z. B. für Online-Banking
    • von SMS ist dabei abzuraten, da SMS unverschlüsselt gesendet werden bzw. leicht manipulierbar oder umleitbar sind. Daher bieten viele Banken diesen Weg auch nicht mehr an
  • Webbrowser (Add-ons für z. B. eine Authenticator App)
  • Sensoren
    • Fingerabdruckscanner Fingerabdrücke sind ca. alle 1 Milliarden Menschen "gleich".
    • Gesichtserkennung
    • Iris-Scan
    • Venen-Scan (ein Scan der Innenhandfläche ist dabei noch sicherer als ein Fingerabdruck)
  • Desktop-Clients
    • diese kennen das Secret und erzeugen einen kurzzeitig gültigen Code (z. B. KeePass)
  • Schlüsseldatei
    • Zertifikat (für den User transparent, dieser muss also nicht aktiv eingreifen, da das Zertifikat nur am bekannten Ort vorliegen muss)
    • SSH-Key
  • Hardware
    • Debitkarte (als erster Faktor zusätzlich zur PIN)
    • elektronischer Personalausweis (mit Lesegerät)
  • Geräteauthentifizierung
    • der User nutzt ein Gerät mit einer eindeutigen und hinterlegten ID

Gesetzliche Regelungen

Auf europäischer Ebene ist 2015 die überarbeitete Zahlungsdiensterichtlinie (engl. Payment Services Directive 2 (PSD2)) für Zahlungsdienstleister beschlossen worden. Diese verpflichtet die Banken seit 2021 unter anderem dazu, dass Transaktionen durch zwei unabhängige Merkmale aus den Kategorien Wissen, Besitz und Inhärenz bestätigt werden müssen. Für Kreditkartentransaktionen gibt es den weltweiten Standard PCI-DSS (Payment Card Industry Data Security Standard), der seit 2022 u. a. MFA fordert.

Nachteile

Generell ist zu nennen, dass die Einrichtung der weiteren Faktoren zumeist kompliziert ist. Konkret müssen Anwendungen installiert und mittels QR-Codes über einen weiteren Kanal mit dem Profil der Nutzenden gekoppelt werden. Teilweise sind dazu mehrere Geräte und Apps notwendig.

Bei einem Hardwarewechsel z. B. durch einen Defekt oder vollständigen Verlust des Smartphones entsteht somit ein erheblicher Aufwand aufgrund der Migration der Secrets. Sollte die Schlüsseldatei verloren gehen, müssen schließlich alle Secrets neu beschafft werden.

Fazit

Digitale Sicherheit ist in der heutigen Welt von entscheidender Bedeutung, da sowohl Unternehmen als auch Nutzende sensible Informationen online speichern. Deshalb muss der Zugriff auf diese Daten durch unbefugte Personen unterbunden werden. Die MFA dient als zusätzliche Sicherheitsebene, um Konten vor Fremdzugriffen zu schützen, auch dann, wenn es davor zu einem Diebstahl des Passworts gekommen ist.

Quellen

https://aws.amazon.com/de/what-is/mfa/
https://www.computerweekly.com/de/ratgeber/Multifaktor-Authentifizierung-Beispiele-und-Anwendungsfaelle-fuer-MFA
https://www.entrust.com/de/resources/faq/what-is-multi-factor-authentication-mfa
https://www.ibm.com/de-de/topics/multi-factor-authentication
https://www.itsb.ruhr-uni-bochum.de/themen/sichere_passworte.html
https://www.microsoft.com/de-de/security/business/identity-access/microsoft-entra-mfa-multi-factor-authentication
https://de.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard
https://de.wikipedia.org/wiki/Zahlungsdiensterichtlinie