Welche Vorteile bietet die Mehrfaktor Authentifizierung
Ob beim Zugriff auf vertrauliche Firmendaten, bei der Anmeldung an Cloud-Lösungen und Web-Anwendungen oder bei der Nutzung des Online-Bankings: Immer dann, wenn kritische Informationen ins Spiel kommen, spielt die Sicherheit bei der Benutzeranmeldung eine ganz entscheidende Rolle.
Die einfachste Form einer solchen Anmeldung kennt – auch aus dem privaten Bereich – praktisch jeder: Die klassische Kombination aus einem Benutzernamen und einem Passwort nämlich. Was für den IT-Laien vielleicht schon relativ sicher wirkt, ist es in der Praxis aber leider gar nicht. Und dies gilt selbst dann, wenn ein langes, kryptisches Passwort gewählt wurde.
Inhalt im Überblick:
- Ein-Faktor-Authentifizierung
- Was ist eine Mehrfaktor-Authentifizierung (MFA)?
- Wie funktioniert die Mehrfaktor-Authentifizierung?
- Multi-Faktor-Authentifizierung
- Authentifizierungs-Möglichkeiten
- Anmeldeverfahren
- Fazit
Eine Ein-Faktor Authentifizierung ist relativ unsicher
Bild: Ein-Faktor Authentifizierung
Denn das Hauptproblem einer solchen Authentifizierungsmethode besteht darin, dass mit der einfachen Kombination aus Benutzername und Passwort letztlich nur eine Komponente seitens des Benutzers abgefragt wird. Es handelt sich also um eine Ein-Faktor-Authentifizierung. Ist das Passwort einem potenziellen Angreifer bekannt oder wird durch sogenannte Brute-Force-Attacken herausgefunden, ist der Zugang bereits „geknackt“. Hinzukommt: der Benutzername selbst besteht ohnehin oftmals aus der E-Mail-Adresse oder dem Klarnamen.
Was ist eine Mehrfaktor Authentifizierung (MFA)?
Bei der sogenannten Multi-Faktor Authentifizierung, oft auch als „Mehrfach Authentifizierung“ oder „Mehrfaktor Authentifizierung“ (MFA) bekannt, bleibt es nicht allein bei der simplen Kombination aus Benutzername und Passwort. Stattdessen kommen hier, wie der Name bereits andeutet, ein oder mehrere zusätzliche Faktoren ins Spiel. Der Zugriff auf die jeweilige Anwendung bzw. das jeweilige System ist also mehrfach abgesichert.
Hilfreich ist hierbei, sich zunächst einmal mit den verschiedenen übergeordneten Bereichen und Gattungen auseinanderzusetzen, aus denen sich Zugangsberechtigungen zusammensetzen können.
Bild: Zwei-Factor Authentifizierung
Das klassische Passwort bei einem E-Mail-Account mit einem PIN Abfrage via Smartphone oder eine PIN für die Nutzung am Geldautomaten etwa sind Beispiele für einen Faktor aus dem Bereich „Wissen“ – der rechtmäßige Benutzer verfügt über ein (hoffentlich) „geheimes Wissen“, indem er das Passwort für seinen E-Mail-Zugang oder die PIN für den Zugriff auf sein Girokonto kennt.
Wie funktioniert die Mehrfaktor Authentifizierung?
Bereits das Beispiel „Geldautomat“ hilft dabei, den Sicherheitsvorteil zu verstehen, den ein oder mehrere zusätzliche Faktoren im Rahmen einer Mehrfach Authentifizierung mit sich bringen. Denn in Form der Girocard, oft auch noch als EC-Karte bezeichnet, kommt zusätzlich ein zweiter Faktor aus einem anderen Bereich hinzu: Um Geld abzuheben, ist es erforderlich, die Plastikkarte in diesem Moment auch tatsächlich physisch zu besitzen. Allein die PIN zu kennen, führt hier ebenso wenig zum Ziel, wie umgekehrt der bloße Besitz der Girocard. Es geht also darum, die Kontrolle über beide Komponenten zu haben – die PIN zu kennen und gleichzeitig physisch über die Karte zu verfügen. Zusätzlich zum „geheimen Wissen“ kommt hier der Faktor „Besitz“ ins Spiel. Wichtig ist dabei, zu beachten, dass die Faktoren auch wirklich unabhängig und getrennt voneinander ausgelegt sind. Dies ist bei der Girocard etwa dann nicht der Fall, wenn die PIN auf der Rückseite der Karte notiert wird.
Multi-Faktor Authentifizierung: Wie viele Faktoren benötigt man?
Während eine Zwei-Faktor Authentifizierung wie im obigen Beispiel bereits ein deutlich erhöhtes Sicherheitsniveau für viele gängige Einsatzszenarien bietet, können auch noch weitere Faktoren genutzt werden. Neben Wissen und Besitz eignen sich etwa biometrische Charakteristika ebenfalls sehr gut als ein Faktor innerhalb einer Mehrfaktor Authentifizierung. Hierbei kann es sich beispielsweise um einzigartige, bei jedem Menschen individuelle Merkmale wie den Fingerabdruck oder die Stimme handeln. Viele Smartphone-Nutzer etwa sind auch mit der Entsperrung ihres Handys per Gesichtserkennung vertraut, auch wenn die dort eingesetzten Methoden in der Regel keine professionellen Anforderungen erfüllen. Sie sollten deshalb nicht als alleinige Absicherung verwendet werden sollten.
Multifaktor Authentifizierung in der Praxis: Welche Authentifizierungs-Möglichkeiten gibt es?
Im professionellen Bereich und für typische berufliche Login-Szenarien, sowohl am Arbeitsplatz im Büro als auch beim Fernzugriff oder im Homeoffice, kam bislang als Faktor „Besitz“ häufig der klassische Hardware-Token zum Einsatz. Der Yubikey ist eine gute Lösung, wenn Sie sich für eine Hardware-Token Lösung entscheiden. Dies kann allerdings gewisse Nachteile mit sich bringen. Auch wenn beispielsweise USB-Token mittlerweile so klein sind, dass sie am Schlüsselbund getragen werden können: Mit dem Token ist ein zusätzliches Stück Hardware erforderlich, das angeschafft werden muss und Kosten erzeugt, auch hinsichtlich der erforderlichen Verwaltung.
In der Praxis setzen sich deshalb im Bereich der Mehrfaktor Authentifizierung zunehmend Varianten durch, die ohne einen solchen, dedizierten Hardware-Token auskommen. Ermöglicht wurde dies letztlich durch die flächendeckende Verbreitung von Smartphones. Der Grund liegt auf der Hand: Smartphones bringen optimale Voraussetzungen mit, um als Besitz-Komponente im Rahmen einer Multifaktor Authentifizierung genutzt zu werden. So lassen sich auf Smartphones beispielsweise einmalig für einen Vorgang nutzbare Passwörter verschicken, sogenannte One Time Passwords, kurz OTP. Ein ähnliches Verfahren ist Nutzern etwa auch von speziellen Onlinebanking und TAN-Apps bekannt: Eine einmalig für eine Überweisung gültige Transaktionsnummer wird dabei an das Smartphone übermittelt.
Oft diverse Anmeldeverfahren nutzbar
Bild: Multi-Faktor Authentifizierung
Moderne Systeme für die Mehrfaktor Authentifizierung stellen heute oftmals diverse Anmeldeverfahren auf der Basis von Smartphones zur Verfügung. So können Einmalpasswörter etwa per SMS, per E-Mail oder über eine spezielle App angezeigt werden. Auch QR-Codes oder eine Übertragung per Bluetooth sind möglich. Einige dieser Varianten sind auch offline nutzbar. Dies hat den Vorteil, dass sie auch dann verwendet werden können, wenn einmal – beispielsweise auf Geschäftsreisen – keine ausreichende Netzabdeckung zur Verfügung steht.
Fazit
Solange es ausschließlich um private, unkritische Daten geht, mag ein einfacher Anmeldevorgang per Passwort je nach persönlichem Sicherheitsbedürfnis noch ausreichend erscheinen. Handelt es sich hingegen um beruflich genutzte Zugänge und kommen kritische, personenbezogene Informationen ins Spiel, sollte allein mit Blick auf die Datenschutzbestimmungen (Stichwort: EU-DSGVO) für eine bessere Absicherung gesorgt werden.
Mit einer Mehrfaktor Authentifizierung lässt sich das Sicherheitsniveau deutlich erhöhen, ohne dabei auf Komfort und Benutzerfreundlichkeit verzichten zu müssen. Denn moderne, Smartphone-basierte Verfahren für die Zwei Faktor Authentifizierung oder Mehrfaktor Authentifizierung lassen sich nicht nur kostengünstig einsetzen, sondern sind gleichzeitig auch intuitiv bedienbar. Dies wiegt auch mögliche Nachteile einer solchen Mehrfach Authentifizierung mehr als auf. Denn dank innovativer, komfortabler Verfahren ist der Gewinn an Sicherheit deutlich höher einzuschätzen, als der relativ geringe Mehraufwand durch die Nutzung mehrerer Faktoren.