Bei der Zwei-Faktor-Authentisierung, kurz 2FA, handelt es sich um eine Authentifizierungsmethode, die aus zwei voneinander getrennten Komponenten besteht. Für eine erfolgreiche Anmeldung müssen also zwei Abfragen korrekt durchgeführt werden. Beide sind miteinander gekoppelt, sodass eine Anfrage nur dann möglich ist, wenn beide Komponenten zur Verfügung stehen. Es kann sich hierbei um digitale, analoge oder andere Mechanismen handeln, die auch kombiniert werden können. Für die Kombination in der Zwei-Faktor-Authentisierung eignen sich zum Beispiel
-
Hardware-Tokens oder Softtoken in Form eine Mobil App
-
ein Geheimschlüssel, wie ein Passwort, eine TAN oder eine PIN
-
biometrische Eigenschaften, unter anderem Fingerabdrücke, die Stimme oder die Iris-Erkennung am Auge
Der große Vorteil der Zwei-Faktor-Authentisierung ist die hohe Sicherheit. Eine einfache Authentisierung ist für unterschiedliche Angriffsarten anfällig. Zum einen sind einige der Methoden, wie beispielsweise Passwörter, nicht immun gegenüber Brute-Force-Attacken. Es ist also möglich, diese Sicherheitsbarriere durch den Einsatz entsprechend leistungsfähiger Systeme zu knacken. Zum anderen haben einfache Authentifizierungen das Potenzial, durch Benutzerfehler kompromittiert zu werden. Eine TAN-Liste, die als Login dient, kann entwendet werden oder der Nutzer verliert diese. Eine Zwei-Faktor-Authentisierung verhindert solche Szenarien, da ein weiterer Sicherheitsmechanismus verhindert, dass ein Unbefugter Zugriff erhält. Aus diesem Grund empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Zwei-Faktor-Authentisierung für alle sicherheitskritischen Anwendungen.
Wie genau funktioniert 2FA in der Praxis?
Es gibt verschiedene Möglichkeiten, die Zwei-Faktor-Authentisierung umzusetzen. Wenn es darum geht, die Identität beziehungsweise den Zugang einer Person via Fernzugriff zu überprüfen, haben sich Systeme auf Basis einer Mobil App für Smartphones (Soft-Token-Generator) etabliert. Dabei generiert die Anwenundung einen Token, welcher eine zeitlich begrenzte Gültigkeit hat. Beispielsweise kommt diese Variante häufig beim Internetbanking zum Einsatz. Für die Authentisierung benötigt der Nutzer einerseits den physischen Zugriff auf sein Smartphone inklusiver der Zugangsinformationen zu diesem Gerät. Andererseits muss er auch die entsprechenden Informationen kennen, um mit seiner persönlichen Identifikationsnummer, der PIN, eine zeitlich begrenzte und nur einmal nutzbare Transaktionsnummer, die TAN, anfordern zu können. Ein weiterer Vorteil ist, dass auf Nutzer in der Regel keinerlei Investitionskosten zukommen. Die benötigte Infrastruktur, also das Smartphone, ist meistens bereits vorhanden.
Eine räumliche Zugangskontrolle lässt sich mithilfe eines biometrischen Scanners und einer Zugangskarte regulieren. In diesem Fall wird dem Nutzer eine persönliche Karte ausgestellt, die an einer Überwachungsstation eingelesen wird. Dann wird als zweiter Schritt der Authentisierung eine einzigartige, biometrische Information zur Bestätigung benötigt. Hierbei kann es sich um den Fingerabdruck oder einen Iris-Scan handeln. Dank handlicher Scanner für die Erfassung von biometrischen Daten, etwa dem Fingerabdruck, können solche Systeme aber auch für die Fernauthentisierung eingesetzt werden. So ist gewährleistet, dass nur eine bestimmte Person in Kombination mit der korrekten, gültigen Chipkarte einen Zugang erhält.
Vorteile der Zwei-Faktor-Authentisierung im Überblick
Die Zwei-Faktor-Authentisierung schafft nicht nur eine zusätzliche Sicherheitsstufe, sie ermöglicht insgesamt ein deutlich höheres Sicherheitsniveau. Gleichzeitig ist es relativ einfach, diese Form der Authentisierung zu implementieren. Nutzer müssen in der Regel keine Investition tätigen und benötigen keinerlei zusätzliche Hardware, um den Dienst nutzen zu können. Unternehmen, die 2FA nutzen möchten, haben nur im Zuge des Aufbaus der Infrastruktur einen einmaligen Aufwand. Das eigentliche System ist im Betrieb ebenso ressourcenschonend und einfach zu administrieren wie ein herkömmlicher Passwortschutz.
Ebenfalls unterbindet 2FA effektiv das Phishing, da es nicht möglich ist, blinde Anfragen zu starten. Durch die zeitliche Begrenzung der Gültigkeit des Zugangscodes ist eine Anmeldung nur unmittelbar möglich. Es ist also ausgeschlossen, dass eine solche Zugangsberechtigung abgefangen und zu einem späteren Zeitpunkt von jemand anderem genutzt wird. Da die beiden Faktoren, die zur Authentisierung eingesetzt werden, in der Regel räumlich getrennt sind, erhöht sich die Sicherheit weiter. Sollte das Smartphone oder die PIN entwendet oder verloren werden, ist noch kein Zugriff möglich. Dem Unbefugten fehlt weiterhin die zweite Komponente, mit der er eine Authentisierung einleiten kann.