Aus ProgrammingWiki

Inhaltsverzeichnis 1 Zwei-Faktor-Authentisierung 1.1 Inhaltsverzeichnis 2 Anwendung 3 Apps für 2FA 4 Komponenten 5 Mittelbare Zwei-Faktor-Authentisierung 6 Universelle Zwei-Faktor-Authentisierung 7 Sicherheitsaspekte 8 Quellen:

Zwei-Faktor-Authentisierung

Bei der Zwei-Faktor-Authentisierung (2FA) – auch bekannt als Zwei-Faktor-Authentifizierung – handelt es sich um ein Verfahren zur Anmeldung, bei dem eine Person ihre Identität anhand zweier unterschiedlicher und unabhängiger voneinander Merkmale verifiziert. Die Kombination aus Bankkarte und PIN am Geldautomaten, der Fingerabdruck mit dem Zugangscode für Gebäude[1] oder die Passphrase mit der Transaktionsnummer (TAN)[2] beim Online-Banking sind typische Beispiele dafür. Bei der Zwei-Faktor-Authentisierung handelt es sich um eine spezielle Art der Mehr-Faktor-Authentisierung.

Inhaltsverzeichnis

• Zwei-Faktor-Authentisierung
• Anwendung
• Komponenten
• Mittelbare Zwei-Faktor-Authentisierung
• Universelle Zwei-Faktor-Authentisierung
• Sicherheitsaspekte
• Quellen

Anwendung

Im Geschäftsverkehr empfiehlt das Bundesamt für Sicherheit in der Informationstechnik: Die relevanten Teile des IT-Grundschutz-Kompendium für normalen Schutzbedarf setzen eine Zwei-Faktor-Authentifizierung für Apple-ID-Konten, die Nutzung der iCloud-Infrastruktur und die Absicherung der Adminzugänge voraus. Bei hohem Schutzbedarf sollten Organisationen eine Multi-Faktor-Authentifizierung überall verwenden.

Stiftung Warentest empfiehlt Verbrauchern, Die Zwei-Faktor-Authentisierung in so vielen Bereichen wie möglich anzuwenden, aus dem Grunde, das Benutzer oft schlechte oder zu schwache Passwörter erstellen. Ebenso ein Problem ist das Benutzer oft für mehrere Konten das gleiche Passwort haben. Die schlechte Passwortsicherheit soll also durch Zwei-Faktor-Authentisierung ausgeglichen werden.

Seit 2018 ist beim Online-Banking die Zwei-Faktor-Authentisierung durch die EU-Zahlungsdienstrichtlinie verpflichtend. Auch andere Webplattformen wie Amazon, Google und mail.de bieten Nutzern die Sicherung ihres Kontos mit der Zwei-Faktor-Authentisierung an.

Apps für 2FA

Google Authenticator: Login in Google-Konten per Push-Notifikation.

Komponenten

Für die erfolgreiche Durchführung der Zwei-Faktoren-Authentifizierung müssen zwei vordefinierte Authentifizierungsmittel aus verschiedenen Kategorien (Eigenschaft, Wissen, Besitz) bei der Prüfung kombiniert verwendet werden. Jedes Authentifizierungsmittel muss das Authentifizierungsprotokoll erfolgreich durchlaufen. Ist ein Faktor nicht vorhanden oder wird ein Faktor inkorrekt genutzt, kann die Authentizität nicht eindeutig bestimmt werden und der Zugang zum System wird verweigert.

Die Einflussgrößen können sein:

• Geheimnisshütender Gegenstand (Besitz), wie etwa ein Sicherheits-Token, eine Bankkarte, eine App zur Generierung von Einmalkennwörtern oder ein physischer Schlüssel
• Geheimes Wissen, wie etwa ein Passwort, ein Einmalkennwort, eine PIN oder eine Transaktionsnummer (TAN).
• biometrische Merkmale (Inhärenz), wie zum Beispiel ein Fingerabdruck, das Muster der Regenbogenhaut (Iris-Erkennung), die menschliche Stimme oder das Gangmuster.

Mittelbare Zwei-Faktor-Authentisierung

Wenn der Nutzer sich anmelden möchte, muss ein Sicherheits-Token als geheimnishütendes Gegenstand immer vorhanden sein. Der Zugriff ist unmöglich bzw. es entsteht ein hoher Aufwand, wenn der Gegenstand gestohlen, verloren oder vom Benutzer einfach nicht dabei ist. Darüber hinaus entstehen auch Ausgaben für die Erstbeschaffung und gegebenenfalls für Ersatzbeschaffungen. Um diese Gefahren zu vermeiden, wurde eine alternative Methode namens mittelbare Zwei-Faktor-Authentisierung entwickelt. Diese verwendet Mobilgeräte wie Mobiltelefone und Smartphones als geheimnishütende Gegenstände, also „etwas, was der Nutzer besitzt“ (aber auch verlieren kann). Es ist nicht nötig, ein zusätzliches Token anzuschaffen und zu beschützen, da das Mobilgerät heutzutage bei vielen Menschen ein ständiger Begleiter ist.

Der Benutzer muss in der Regel eine Passphrase und ein einmalig gültiges, dynamisch generiertes Einmalkennwort eingeben, um sich zu authentisieren. Mit der entsprechenden Zwei-Faktor-Authentisierungs-App kann er diesen Code per SMS oder E-Mail auf sein Mobilgerät senden oder (besser) das Einmalkennwort auf dem Mobilgerät generieren lassen.

Eine Ziffernfolge wird vom Benutzer automatisch gelöscht, und das System schickt dem Mobilgerät einen neuen Code. Wenn der neue Code nicht innerhalb eines vorgegebenen Zeitraums eingetragen wird, wird er vom System automatisch ersetzt. Auf diese Art und Weise bleiben auf der mobilen Komponente keine bereits verwendeten Codes erhalten. Um die Sicherheit zu erhöhen, kann bestimmt werden, wie viele falsche Anmeldungen toleriert werden, bevor das System den Zugriff blockiert.

Der Prozess wird als halbautomatisiert betrachtet, wenn der sich authentisierende Benutzer keine manuelle Dateneingabe mehr benötigt. Das ist durch die Verwendung der NFC-Methode möglich. Dafür wird ein Mobilgerät benutzt, das zuvor personalisiert wurde.

Erst wenn der authentisierende Benutzer überhaupt keine Handhabung mehr benötigt, wird der Prozess als vollautomatisiert betrachtet. Dies wurde erreicht, indem Piconetze (Bluetooth) als internationaler Industriestandard eingesetzt wurden. Dafür wird ein Mobilgerät, das zuvor personalisiert wurde, verwendet.

Universelle Zwei-Faktor-Authentisierung

Am 9. Dezember 2014 hat die FIDO-Allianz die erste Version des lizenzfreien und universellen Standards U2F für die Zwei-Faktor-Authentisierung veröffentlicht. Dieser unterstützt verschiedene Methoden und Geräte. Der Standard 2.0 der FIDO-Allianz für die Authentifizierung im Internet wird vom Betriebssystem Windows 10 unterstützt, wie Microsoft im Februar 2015 angekündigt hat.

Sicherheitsaspekte

Sicherheitsexperten weisen darauf hin, dass Betrüger die Techniken des SMS-Spoofings und der Man-in-the-Middle-Angriffe nutzen könnten, um gefälschte Anmeldeseiten zu präsentieren und so die Zwei-Faktor-Authentifizierung, die auf Einmalkennwörtern basiert, zu umgehen. In diesem Zusammenhang bietet FIDO U2F einen zusätzlichen Schutz.

Die beiden Faktoren sollten über unterschiedliche Übertragungskanäle kommunizieren. Häufig wird dem Wunsch, sie nicht am gleichen Ort zu speichern, nicht entsprochen. Viele Banken verwenden sowohl ihre E-Banking-App als auch die App für die Zwei-Faktor-Authentifizierung mit Einmalkennwort auf demselben Gerät. Dadurch ist bei Verlust des Geräts lediglich ein eventuell vorhandener PIN-Code in der 2FA-App vorhanden, der den Zugriff schützt. Selbst wenn die TOTP-basierte Authentifizierungs-App auf demselben Gerät wie der IT-Dienst installiert ist, bietet dies lediglich eine Sicherheitserhöhung im Vergleich zur Authentifizierung allein durch Benutzername und Passwort – was sich aus der Einmaligkeit des Einmalpassworts ergibt. Die Verwendung der Authentifizierungs-App auf einem separaten Gerät erhöht jedoch die Sicherheit des zweiten Faktors zusätzlich.

Zudem ermöglichen viele Anbieter die Festlegung bestimmter Computer als vertrauenswürdige Clients, von denen aus die Anmeldung ohne Einmalpasswort erfolgen kann. Wenn ein Angreifer jedoch Zugriff auf einen solchen Computer erhält, ist kein zusätzlicher Schutz vorhanden.

Quellen:

• Zwei-Faktor-Authentisierung
• Bundesamt für Sicherheit in der Informationstechnik
• Zwei-Faktor-Authentifizierung für Apple Account
• datenschutzticker.de