Die Zwei-Faktor-Authentisierung

Aus ProgrammingWiki

Inhaltsverzeichnis 1 Was ist die 2FA 2 Grundlagen 3 Geschichte 4 Arten der Zwei-Faktor-Authentifizierung 4.1 1. SMS-/Telefonbasierte 2FA 4.2 2. Authentifikator-Apps 4.3 3. Hardware-Token 4.4 4. Biometrische Faktoren 5 Sicherheit und Kritik 6 Verbreitung und gesetzliche Vorgaben

Was ist die 2FA

Definition:

Zwei-Faktor-Authentisierung/Zwei-Faktor-Authentifizierung (2FA) ist eine Methode zur Absicherung von Benutzerkonten, bei der zur Verifizierung der Identität zwei unterschiedliche und unabhängige Faktoren aus verschiedenen Kategorien verwendet werden. Ziel ist es, die Sicherheit gegenüber der herkömmlichen Ein-Faktor-Authentifizierung (z. B. nur Passwort) erheblich zu erhöhen.

Grundlagen

Die Zwei-Faktor-Authentifizierung basiert auf dem Prinzip, dass ein Benutzer zwei von drei möglichen Faktoren bereitstellen muss:

• Wissen – etwas, das der Nutzer weiß (z. B. Passwort, PIN).

• Besitz – etwas, das der Nutzer besitzt (z. B. Smartphone, Token).

• Inhärenz – etwas, das der Nutzer ist (z. B. Fingerabdruck, Gesichtserkennung).

Erst durch die Kombination aus zwei dieser Faktoren wird der Zugriff gewährt. Ein häufiger Anwendungsfall ist der Login in ein Online-Konto mit einem Passwort (Wissen) und einem Einmalcode, der per App oder SMS auf ein registriertes Mobilgerät gesendet wird (Besitz).

Geschichte

Die Idee der Mehr-Faktor-Authentifizierung ist nicht neu und wurde ursprünglich in sicherheitskritischen Bereichen wie Banken oder der Verteidigung eingesetzt. Mit der zunehmenden Verbreitung von Online-Diensten und den wachsenden Bedrohungen durch Phishing und Datenlecks wurde 2FA in den 2010er Jahren zunehmend auch für den Endverbraucher relevant. Große Technologieunternehmen wie Google, Microsoft und Apple begannen, 2FA in ihre Dienste zu integrieren.

Arten der Zwei-Faktor-Authentifizierung

1. SMS-/Telefonbasierte 2FA

Dabei wird ein Einmalcode per SMS oder Anruf an das registrierte Mobilgerät gesendet. Diese Methode ist einfach, gilt jedoch als unsicherer, da sie anfällig für SIM-Swapping und Man-in-the-Middle-Angriffe ist.

2. Authentifikator-Apps

Apps wie Google Authenticator, Microsoft Authenticator oder Authy generieren zeitbasierte Einmalpasswörter (TOTP). Diese Methode ist sicherer als SMS, da sie nicht über das Mobilfunknetz übertragen wird.

3. Hardware-Token

Geräte wie YubiKey oder RSA SecurID erzeugen oder speichern kryptografische Schlüssel. Sie gelten als besonders sicher, da der private Schlüssel das Gerät niemals verlässt.

4. Biometrische Faktoren

Moderne Geräte unterstützen biometrische Merkmale wie Fingerabdruck, Gesichtserkennung oder Iris-Scan als zweiten Faktor. Diese werden oft in Kombination mit Besitz (z. B. Smartphone) verwendet.

Sicherheit und Kritik

2FA gilt als wirksamer Schutz gegen viele gängige Angriffsarten, insbesondere Phishing, Brute-Force-Angriffe und Credential Stuffing. Dennoch ist keine Methode absolut sicher. Insbesondere SMS-basierte Verfahren stehen in der Kritik, da Angreifer Telefonnummern übernehmen oder SMS abfangen können.

Ein weiteres Problem stellt die Usability dar: Nutzer empfinden 2FA teilweise als umständlich oder vergessen, ihre Geräte zu sichern. Deshalb wird vermehrt an Passkey- und passwordlosen Authentifizierungsverfahren gearbeitet, die mehr Komfort bei gleicher oder höherer Sicherheit bieten sollen.

Verbreitung und gesetzliche Vorgaben

Viele Plattformen wie Facebook, Instagram, Amazon und Banking-Apps bieten oder verlangen heute 2FA. In der EU schreibt die Zahlungsdiensterichtlinie PSD2 bei elektronischen Zahlungen seit 2021 eine starke Kundenauthentifizierung (oft in Form von 2FA) vor.

Auch im Unternehmensumfeld ist 2FA fester Bestandteil von Sicherheitsrichtlinien und wird von Sicherheitsstandards wie ISO/IEC 27001 oder NIST SP 800-63 empfohlen.